tinymce를 사용한다면, 다시 게시 할 때 HTML의 구문 분석 (db에 데이터를 저장할 때)을 처리해야한다는 의미입니까?with tinymce, html 마크 업을 처리해야합니까?
출력을 구문 분석하고 해시 스크립트가 다시 게시되지 않았는지 확인하거나 html을 안전한 마크 업으로 변환 할 수 있습니까?
tinymce를 사용한다면, 다시 게시 할 때 HTML의 구문 분석 (db에 데이터를 저장할 때)을 처리해야한다는 의미입니까?with tinymce, html 마크 업을 처리해야합니까?
출력을 구문 분석하고 해시 스크립트가 다시 게시되지 않았는지 확인하거나 html을 안전한 마크 업으로 변환 할 수 있습니까?
예, 항상 !!! 편집기를 끄거나 자바 스크립트가 활성화되어 있지 않은지 생각해보십시오.
서버에 게시하는 콘텐츠가 안전한지 클라이언트에 의지해서는 안됩니다.
잠재적 인 공격자가 클라이언트 측 측정을 비활성화하고 원하는 위험한 콘텐츠를 제출하는 것은 너무 쉽습니다.
따라서 당신은 항상에 상관없이 브라우저에서 사용하는 어떤 편집기, 서버 측에서 콘텐츠를 확인하지해야합니다.
'유효한 요소'체크를 사용하여 표준 HTML 만 편집기에서 가져올 수 있습니다. 스크립트가없고 붙여 넣은 태그에 이벤트가 없습니다 (예 : onclick 이벤트가있는 앵커 태그). 그냥 지루한, 일반 HTML.
http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements
tinyMCE.activeEditor.hide() - 짜잔, 일반 텍스트 영역, 편집 무료. 사용자 콘텐츠를 신뢰하지 마세요. – Piskvor