935
צפיות
צפיות
1
תשובות
תשובות
rich text editor
אם אני בונה מערכת תגובות שה-textarea שלה הוא RichTextEditor שהורתי, איך אני מונע החדרה של HTML/CSS/JAVASCRIPT לא רצויים לאתר אבל עדיין נותן למשתמש אפשרות של תגובה מעוצבת?
אם אני בונה מערכת תגובות שה-textarea שלה הוא RichTextEditor שהורתי, איך אני מונע החדרה של HTML/CSS/JAVASCRIPT לא רצויים לאתר אבל עדיין נותן למשתמש אפשרות של תגובה מעוצבת?
1 תשובות
אתה צריך להפוך את מה שהמשתמש שולח ל XML
בעקרון אם אתה נותן למשתמש להזין בתוך תיבה איזה טקסט שהוא רוצה, ואחרי זה אתה מכניס את זה בתוך HTML, אז אתה צריך להיזהר :
לדוג' המשתמש יכול להניס לך משהו כמו
<script>
window.location = 'mysite.com'
</script>
אם אחרי זה תכניס את זה בתוך אלמנט HTML, העמוד יריץ את הסקריפט.
מה שעושים (או לפחות מה שאני עושה) זה מתרגמים את כל האלמנטים המסוכנים כמו ><", לXML לפני שמעדכנים את הדף HTML.
אני מקווה שזה היה מובן. אתה מוזמן להכניס כתבה באתר שלי ולראות איך זה מתבצע :
http://www.ichess.co.il/articles.html#!