Si vous utilisez tinymce, cela signifie-t-il que vous devez gérer l'analyse du code HTML sur la publication (lors de l'enregistrement des données dans la base de données)?avec tinymce, avez-vous besoin de gérer le balisage html?
En d'autres termes, vous devez analyser la sortie et vous assurer qu'aucun script hacky n'a été publié ou pouvez-vous convertir le html en un balisage sécurisé?
Oui, toujours !!! Pensez simplement s'ils désactivent l'éditeur ou n'ont pas activé javascript.
Vous ne pouvez jamais compter sur le client pour vous assurer que le contenu qu'il publie sur votre serveur est sûr.
Il est beaucoup trop facile pour un attaquant potentiel de désactiver ces mesures côté client et de soumettre tout contenu dangereux qu'il souhaite.
Par conséquent, vous devez toujours vérifier votre contenu côté serveur, quel que soit l'éditeur que vous utilisez dans le navigateur.
Nous utilisons la vérification des 'éléments valides' pour nous assurer que nous obtenons seulement le HTML standard hors de l'éditeur. Aucun script, aucun événement sur les étiquettes collées (p. Ex. Balises d'ancrage avec événements onclick). Juste ennuyeux, HTML ordinaire.
http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/valid_elements
tinyMCE.activeEditor.hide() - le tour est joué, une zone de texte simple, libre de modifier. Ne faites jamais confiance au contenu de l'utilisateur. – Piskvor