2

有名な symfony フレームワークを使用して Web サイトを作成しました。豊富な編集機能を追加したかったのです。そして、TinyMCE エディターを見つけました。しかし、ここで問題が発生しました。ユーザーが JavaScript コードをコンテンツに埋め込んだ場合はどうでしょうか。alert('hello world') など。

非常に有名なブログ ソフトウェアである wordpress をテストしました。それは同じ問題に直面しています。

誰かが警告スクリプトを埋め込んでも大したことではありません。しかし、危険なコードが埋め込まれていたらどうでしょうか? 同じ問題に遭遇しましたか? html の代わりにマークダウンを使用する必要がありますか? マークダウン編集に適したウィジェットはありますか?

4

2 に答える 2

3

ユーザー入力を一掃するために既存のライブラリを使用することをお勧めします

于 2013-02-26T10:32:13.057 に答える
1

ユーザー入力に埋め込みJavaScriptを許可しないでください。これは、クライアントまたはサーバーのいずれかで簡単にクリーンアップできます。サポートするHTMLタグの「ホワイトリスト」を用意し、許可するものからイベントリスナー属性を削除します。

于 2010-08-25T13:11:25.153 に答える