所见即所得的编辑器并不稀缺,但似乎没有简单的途径来拥有一个并保持某种保护以防止绕过客户端验证并包括脚本和对象标签。
我最初的想法是找到一个所见即所得的编辑器,它会输出 markdown,然后将 markdown 格式的文本存储在 db 中并在显示上解析。这将保护我免于将潜在危险代码存储在数据库中,但也使我无需将编辑器将输出的每个可能的标签都列入白名单,如果它是 HTML 则我需要这样做。
我在这里错过了一些非常简单的路径吗?其他人如何平衡拥有可用的编辑器但又不对攻击敞开大门?
问问题
1558 次
1 回答
1
Ryan Grove 的 sanitize gem是非常可定制的,我认为basicorrelaxed模式适用于从 WYSIWYG 编辑器中清理原始 html(而且您不必将一堆标签列入白名单)。
于 2013-06-17T05:04:00.717 回答