édition de texte enrichi, empêcher le code javascript intégré

Question

J'ai créé un site Web en utilisant le célèbre framework symfony. Je voulais ajouter une fonctionnalité d'édition riche. Et j'ai trouvé l'éditeur TinyMCE. Mais il y a eu un problème: qu'en est-il de l'utilisateur qui intègre du code javascript dans le contenu? comme alerte ('bonjour monde'). J'ai testé wordpress, qui est un logiciel de blog très célèbre. Il fait face au même problème. example.

Ce n'est pas un problème si quelqu'un intègre un script d'alerte. Mais qu'en est-il s'ils intègrent un code dangereux? Avez-vous rencontré le même problème? Dois-je utiliser markdown au lieu de html? Tout bon widget pour l'édition de démarques? N'autorisez aucun javascript incorporé dans votre saisie utilisateur.

Answer 1

Ceci est facile à nettoyer sur le client ou le serveur. Avoir une «liste blanche» de balises HTML que vous prenez en charge, et supprimer les attributs d'écouteur d'événement de tout ce que vous autorisez.

Answer 2

C'est une bonne idée d'utiliser une bibliothèque existante pour nettoyer votre entrée utilisateur, le projet purificateur html: http://htmlpurifier.org/ semble maintenu et bien fait.