Предотвращение XSS (межсайтового скриптинга)

Сколько HTML вы собираетесь поддерживать? Полужирным шрифтом / курсивом / основным шрифтом? В этом случае вы можете преобразовать их в синтаксис уценки, а затем удалить остальную часть HTML.

Разборку необходимо выполнить на стороне сервера, прежде чем вы ее сохраните. Вам также необходимо проверить ввод на сервере при проверке SQL-уязвимостей и других нежелательных вещей.

Если вам нужно сделать это в браузере: http://code.google. ru / p / google-caja / wiki / JsHtmlSanitizer

Я предлагаю вам использовать только синтаксис уценки. Во внешнем интерфейсе клиент может ввести уценку и иметь предварительный просмотр HTML (так же, как SO), но только на стороне сервера отправить синтаксис уценки. Затем вы можете проверить его, сгенерировать HTML, избежать его и сохранить.

Я считаю, что так поступает большинство из нас. В любом случае уценка предназначена для того, чтобы избавить кого-либо от написания структурированного HTML-кода и дать власть тем, кто даже не знает, как это сделать.

Если есть что-то конкретное, что вы хотите сделать с HTML, вы можете настроить его с помощью наследования CSS ».comment a {color: # F0F; } ', интерфейс JS или просто пройдитесь по сгенерированному HTML от разметки Markdown перед его сохранением.

Почему бы тебе не использовать код Джеффа? http://refactormycode.com/codes/333-sanitize-html

Я бы проголосовал за FCKEditor, но вам нужно сделать несколько дополнительные шаги к возвращаемому результату тоже.

Вы можете использовать белый список HTML, чтобы можно было использовать определенные теги, но все остальное было заблокировано.

Есть инструменты, которые могут сделать это за вас. SO использует код, который Связано с Slough.