0

我正在寻找一个所见即所得的方法,它允许我指定文本区域中允许的 HTML 标签白名单并呈现它们,同时丢弃其他任何东西。如果用户手动复制和粘贴内容或编辑 HTML,则需要运行此验证。

有点像 HTML Purifier,但在 Javascript WYSIWYG 中。

我玩过 CKEditor 的dataProcessor.dataFilter设置,但这需要将每个标签都列出来排除,所以它是一个黑名单而不是白名单。

有任何想法吗?

编辑...

请不要简单地建议使用 {xyz} 编辑器。我正在寻找带有代码示例的建议,这些示例显示如何以这种方式使用建议的编辑器。

4

1 回答 1

0

使用 tinyMCE,您可以获得有效元素无效元素扩展有效元素的列表。

您可以通过查看示例查看这些代码并在 tinyMCE 网站上使用配置选项

当提交表单或按下删除格式按钮(如本例中)时,将运行验证并提取所有无效格式。

您必须小心,因为这并不能确保恶意用户不会直接向您发送无效的 html 并尝试引发XSS 攻击。这意味着如果您打算再次将 html 提供给用户,您仍然需要在服务器端进行验证。

于 2012-02-09T17:23:45.207 回答