问题标签 [wmd]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
mysql - WMD Markdown 从 MySQL 到 HTML 服务器站点而不显示 textarea
我将 Markdown 代码存储在 MySQL 中,我担心如何将其转换回 HTML 而不通过 WMD 控件传输它并使用大量数据传输。
.net - 如何从 ASP.NET 网站的 WMD 编辑器服务器端捕获降价?
我正在asp:TextBox使用wmd-input. 当用户单击提交按钮时,我不想在服务器端捕获降价作为Text我的asp:TextBox控件的属性。
但是,我在服务器端的 TextBox 不是预期的降价,而是包含 HTML 格式的降价版本:
<h1>testing</h1>
我如何获得纯降价?
PS:在客户端,我在asp:TextBox. 我不清楚在回发之前何时将其转换为 HTML。
asp.net-mvc - 似乎无法使用 wmd-editor 保存文本的标记版本
当我使用 wmd-editor 保存 textarea 的上下文时,我遇到了一个问题,它一直想将其保存为 html。我有以下代码:
输入元素...
制作输出降价的脚本......
控制器代码...
我错过了什么吗?知道为什么它不会返回 textarea 的降价版本吗?
c# - 白名单,在 C# 中使用 WMD 控制防止 XSS
我在这里做的事情有什么问题吗?这是我第一次处理这样的事情,我只是想确保我了解不同方法的所有风险等。
我正在使用 WMD 获取用户输入,并使用文字控件显示它。由于一旦输入就无法编辑,我将存储 HTML 而不是 Markdown,
然后为我希望用户能够使用的标签运行类似以下的内容。
编辑这是我目前正在做的事情:
- 我在这里所做的事情会保护我免受XSS的侵害吗?
- 是否还有其他需要考虑的因素?
- 是否有一个很好的正常标签列表来列入白名单?
internet-explorer-7 - WMD 编辑器在加载时冻结 Internet Explorer 7 3 秒
我正在使用 WMD 编辑器的原始代码(不是 Stack Overflow 版本),因为我需要在同一页面上使用多个,而 Stack Overflow 版本在内部大量使用元素 ID,因为它们不会有多个编辑器实例每页。
该代码在 Firefox 3.5 等中运行良好。但是,当我在 Internet Explorer 8(在 Internet Explorer 7 兼容模式下)运行它时,它会冻结整个浏览器约 3 秒。在新实例出现之前。我尝试使用IE的开发工具对其进行分析,似乎getWidth()代码缩小版的第520行的功能一直在占用。然而,当我尝试硬编码返回时(因为它总是返回相同的东西),瓶颈转移到了getHeight()函数上。
我附上了我用来将其转换为 jQuery 插件的代码。
任何帮助将非常感激。
editor - 大规模杀伤性武器编辑器消毒
我正在尝试寻找清理WMD编辑器输入的方法。
具体来说,我试图使 HTML 标签仅在<code>WMD 生成的标签中可用。那可能吗
我的问题是以下代码呈现为 HTML,这对潜在的XSS 攻击很有效。
例如,<a onmouseover="alert(1)" href="#">read this!</a>
上面的代码在预览模式和保存到数据库时都正常呈现。
我注意到 Stack Overflow 似乎没有这个问题。相同的代码只是呈现为文本。
我注意到 Stack Overflow 团队在http://refactormycode.com/codes/333-sanitize-html中分享了他们的代码。我真的必须使用 C# 来清理 WMD 才能做到这一点吗?
javascript - 将 WMD 编辑器的预览 HTML 与服务器端 HTML 验证对齐(例如,没有嵌入的 JavaScript 代码)
关于如何对 WMD 编辑器生成的 Markdown 进行服务器端清理以确保生成的 HTML 不包含恶意软件,有许多 Stack Overflow 问题(例如,白名单、在 C#和WMD Markdown 和服务器端使用 WMD 控制防止 XSS)脚本,像这样:
但是我也没有找到一个很好的方法来堵住客户端的漏洞。客户端验证当然不能替代服务器上的擦洗验证,因为任何人都可以假装自己是客户端并向您发布讨厌的 Markdown。如果您在服务器上清理 HTML,攻击者无法保存坏的 HTML,因此其他人将无法在以后看到它,并且他们的 cookie 被盗或会话被坏脚本劫持。所以有一个有效的例子,它可能不值得在 WMD 预览窗格中执行无脚本规则。
但是想象一下,攻击者找到了一种将恶意 Markdown 下载到服务器上的方法(例如,来自另一个站点的受损提要,或者在修复 XSS 错误之前添加的内容)。在将 Markdown 转换为 HTML 时应用的服务器端白名单通常会阻止向用户显示错误的 Markdown。但是,如果攻击者可以让某人编辑页面(例如,通过发布另一个条目说恶意条目的链接已损坏并要求某人修复它),那么任何编辑页面的人都会被劫持他们的 cookie。诚然,这是一个极端的案例,但它仍然值得防御。
此外,允许客户端预览窗口允许与服务器允许的 HTML 不同的 HTML 可能是个坏主意。
Stack Overflow 团队通过对 WMD 进行更改来填补这个漏洞。他们是如何做到的呢?
[注意:我已经弄清楚了,但它需要一些棘手的 JavaScript 调试,所以我在这里回答我自己的问题,以帮助其他可能想做同样事情的人]。
javascript - 我们应该使用哪种 Stack-Overflow 样式的 Markdown (WMD) JavaScript 编辑器?
背景
我正在开发一个需要用户输入内容的应用程序,我决定使用 Stack Overflow 风格的 Markdown 编辑器。在过去几天研究这个主题之后,我意识到基础 WMD 编辑器有许多分支,其中一些具有一些基本的增强功能,而另一些则与 Stack Overflow 有很大的不同。
由于这将是应用程序的核心,我想从我能做到的最好的代码库开始。如果有人能推荐众多解决方案中的哪一种最适合我的需求,我会很高兴。
以下是要求,以及我已经设法找到的内容。我希望这个问题能帮助我决定使用哪个版本,或许还能帮助我发现一个更适合我需要的端口。
我的项目的要求
- 实时预览
- 同一页面上的多个编辑器(我不知道提前多少,因为用户可以动态添加另一个编辑框)。
- 能够使用额外的按钮进行扩展(我想要一个按钮来上传图片,而不是仅仅添加一个
imgURL)。 - 能够动态显示/隐藏编辑框(并且只看到预览框)。
- 不是绝对必须的,但我更喜欢贴近 Stack Overflow 的外观和感觉,因为它是众所周知的。
- 不知道这是否重要,但后端是用 Django 编写的。
我看过的编辑器
以下是我看过的一些代码库,有一些想法。显然,我可能会错过另一个解决方案。
- 德罗宾版本。据我所知,这是 Stack Overflow 的官方版本。似乎它不支持一页上的多个编辑器。
- jQuery.MarkEdit。看起来很不错,但与 Stack Overflow 版本有很大不同。
- 哞哞WMD。现在看起来像赢家,但我有点担心,因为它看起来不像 MarkEdit 那样活跃/可破解。
- wmd-新版本。不确定,看起来像一个没有太多用处的旧代码库。
- SocialSite分支。好像不适合公众使用。
wmd - 将 WMD 编辑器内容转换为 HTML 格式
我对使用这个WMD编辑器很陌生。以一种简单的方式,我在我的页面中使用这个编辑器,它使用带有“wmd-input”类的 ASP 文本框。它的行为就像 WMD 编辑器一样完美。
但是当我输入一些数据并进行一些格式化,如粗体、斜体等,并从服务器端读取编辑器的内容时,我可以看到纯文本的数据。
有什么方法可以将数据读取为 HTML 格式的数据?