問題タブ [wmd-editor]

私はajaxよりも大量破壊兵器エディターを試しています。ここにバグのあるコードがあります

wdmコードは、githubのopenlibraryフォークに基づいています

ajaxがなくても非常にうまく機能します。

しかし、ajaxフォーム上にエディターを表示しようとするとロードされません。

非ajaxバージョンはこのhtmlを生成します：

ajaxフォームを使用：

何か助けはありますか？

wmd-editorを使用してtextareaのコンテキストを保存しているときに、問題が発生します。これは、htmlとして保存したいということです。私は次のコードを持っています：

入力要素...

出力マークダウンを作成するためのスクリプト...

コントローラコード...

私は何かが足りないのですか？テキストエリアのマークダウンバージョンを返さない理由はありますか？

以下のようなコードがあります

エディターが機能するのに名前は必要ないようですが、データを投稿できるように名前を使用する必要があります。問題は、ユーザーが入力したテキスト データを取得するのではなく、マークダウン エディターから生成された html を取得することです。ユーザーが入力する通常の生のhtmlを取得するように設定するにはどうすればよいですか?

私は自分のウェブサイトに wmd を載せています。コードを挿入して試してみると、下の画像が表示されます。

プレビュー div がテキストエリアと重ならないようにするにはどうすればよいですか? -編集- 黒は div wmd-preview の css 背景です

いくつかのhtml

同じページに複数のコードが必要なため、WMD エディターの元のコード (スタック オーバーフロー バージョンではありません) を使用しています。スタック オーバーフローのバージョンは、複数のエディター インスタンスを持たないため、要素 ID を内部的に多用します。 1ページあたり。

コードは Firefox 3.5 などでは問題なく動作します。ただし、Internet Explorer 8 (Internet Explorer 7 互換モード) で実行すると、ブラウザー全体が約 3 秒間フリーズします。新しいインスタンスが表示される前に。Internet Explorer の開発ツールでプロファイリングしてみたところgetWidth()、縮小版のコードの 520 行目の関数が常に占有されているようです。しかし、戻り値をハードコーディングしようとすると (常に同じものを返すため)、ボトルネックはgetHeight()関数に移行しました。

jQueryプラグインに変換するために使用しているコードを添付しています。

どんな助けでも大歓迎です。

ここでスタック オーバーフローで使用されているものと同様の WMD エディターのヘッダーのスタイルをカスタマイズするにはどうすればよいですか

生成されたHTMLに悪意のあるものが含まれていないことを確認するために、WMDエディターによって生成されたMarkdownのサーバー側スクラビングを実行する方法について、多くのスタックオーバーフローの質問があります（たとえば、ホワイトリスト、C＃およびWMDマークダウンでのWMD制御によるXSSの防止およびサーバー側）このようなスクリプト：

しかし、クライアント側の穴を塞ぐ良い方法も見つかりませんでした。もちろん、クライアント検証はサーバーでのスクラブ検証に代わるものではありません。誰もがクライアントのふりをして、厄介なMarkdownをPOSTできるからです。また、サーバー上のHTMLをスクラブしている場合、攻撃者は不正なHTMLを保存できないため、後で他のユーザーがHTMLを確認したり、Cookieが盗まれたり、不正なスクリプトによってセッションが乗っ取られたりすることはありません。したがって、WMDプレビューペインでもスクリプトなしのルールを適用する価値がない可能性があるという正当なケースがあります。

しかし、攻撃者が悪意のあるMarkdownをサーバーに取り込む方法を見つけたと想像してください（たとえば、別のサイトからの侵害されたフィード、またはXSSバグが修正される前に追加されたコンテンツ）。マークダウンをHTMLに変換するときに適用されるサーバー側のホワイトリストは、通常、その悪いマークダウンがユーザーに表示されるのを防ぎます。しかし、攻撃者が誰かにページを編集させることができた場合（たとえば、悪意のあるエントリにリンク切れがあったことを示す別のエントリを投稿し、誰かに修正を依頼することによって）、ページを編集する人は誰でもCookieが乗っ取られます。これは確かにコーナーケースですが、それでも防御する価値があるかもしれません。

また、クライアントプレビューウィンドウでサーバーが許可するのとは異なるHTMLを許可することはおそらく悪い考えです。

Stack Overflowチームは、WMDに変更を加えることで、この穴を塞いでいます。彼らはどうやってそれをしましたか？

[注：これはすでに理解していますが、JavaScriptのデバッグには注意が必要なので、同じことをしたいと思うかもしれない他の人を助けるために、ここで自分の質問に答えています]。

Cakephp v1.3アプリケーションでwmd-editorを使用しました。

私が書いた構成は次のとおりです。

フォームを送信すると、wmd が有効なテキストエリアの HTML がデータベースに保存され、テキストが作成され、メソッドで自動的にhtmlentities()デコードされます。 テキストはこのようにHTMLコーディングを含めてそのまま表示されますhtml_entity_decode()

<p><strong>hello dear friends</strong></p>\n\n<pre><code>I want to make sure that everything that you type is visible clearly.\nadasfafas\n</code></pre>\n\n<blockquote>\n <p>sadgsagasdgxcbxcbxc</p>\n</blockquote>\n\n<p><em>sadfgsgasdsgasgs</em></p>\n\n<p><b><a href="http://kumu.in">this is the link</a></b></p>

この問題を解決するのを手伝ってください

ありがとう

私はこのWMDエディターを使うのはとても初めてです。簡単に言うと、「wmd-input」クラスのASPテキストボックスを使用して、ページでこのエディターを使用しています。それは完全にWMDエディタのように動作しています。

しかし、データを入力して太字や斜体などの書式を設定し、サーバー側からエディターのコンテンツを読み取ると、データがプレーンテキストで表示されます。

データをHTML形式のデータとして読み取る方法はありますか？