【发布时间】:2014-05-20 17:03:30
【问题描述】:
我有一个带有 Tinymce 编辑器的表单,因此任何用户都可以格式化它的文本以使其看起来不错。
如果他在表单中编写任何恶意脚本,它会自动转义。但如果用户作弊并使用 Postman 之类的工具发布表单,他可以提交未转义的脚本(如 iframe)。
如何验证 Tinymce 输入?如果我使用带有“转义”功能的验证器插件,它会删除所有格式。我尝试使用一些用于节点的 Google Caja 插件来清理输入,但它没有删除任何恶意代码,例如 iframe。有什么帮助吗?
【问题讨论】:
-
打开TinyMCE源码,然后浏览代码,找到escpae函数对应的那段代码,然后粘贴到你的服务器...