たとえば、Javascript を利用したフォーム作成ツールがあります。リンクを使用して要素の html ブロック (入力フィールドなど) を追加し、TinyMCE を使用してテキストを編集します。これらは、特定のイベントでバックグラウンドで AJAX 呼び出しを行う自動保存機能を介して保存されます。
呼び出される保存関数はデータベースの保護を行いますが、ユーザーが DOM を操作して、必要なもの (カスタム HTML や不要なスクリプトなど) を追加できるかどうか疑問に思っています。
これはどのくらい安全ですか?
最初に頭に浮かぶのは、受信した html コードからインライン JavaScript を検索して削除する必要があるということです。
PHP、JQuery、Ajax を使用します。