我熟悉CKEditor,它将粗体文本转换为HTML标记<strong>
。其他编辑器(如本网站上的编辑器)使用Markdown格式,我看到用明星包裹的粗体文本而不是像**text**
这样的HTML。
Sp是否意味着使用降价编辑器默认保护您免受该用户输入中的任何XSS的攻击?我想是的(这是我想使用降价编辑器而不是ckeditor的主要原因),但想要仔细检查。
答案 0 :(得分:3)
根据这个:http://michelf.com/weblog/2010/markdown-and-xss/
默认情况下它不会逃脱XSS
答案 1 :(得分:3)
没有XSS安全客户端编辑器。即使编辑器不允许您插入任意HTML,也可以轻松地绕过编辑器并提交任意HTML。
唯一安全的解决方案是清理服务器上的HTML。