שלח תשובה

זירת השאלות

894
צפיות
1
תשובות

rich text editor

,‏ 13 במרץ, 2011

אם אני בונה מערכת תגובות שה-textarea שלה הוא RichTextEditor שהורתי, איך אני מונע החדרה של HTML/CSS/JAVASCRIPT לא רצויים לאתר אבל עדיין נותן למשתמש אפשרות של תגובה מעוצבת?

תגיות:

1 תשובות

  1. ichess הגיב:

    אתה צריך להפוך את מה שהמשתמש שולח ל XML
    בעקרון אם אתה נותן למשתמש להזין בתוך תיבה איזה טקסט שהוא רוצה, ואחרי זה אתה מכניס את זה בתוך HTML, אז אתה צריך להיזהר :

    לדוג' המשתמש יכול להניס לך משהו כמו
    <script>
    window.location = 'mysite.com'
    </script>

    אם אחרי זה תכניס את זה בתוך אלמנט HTML, העמוד יריץ את הסקריפט.
    מה שעושים (או לפחות מה שאני עושה) זה מתרגמים את כל האלמנטים המסוכנים כמו ><", לXML לפני שמעדכנים את הדף HTML.

    אני מקווה שזה היה מובן. אתה מוזמן להכניס כתבה באתר שלי ולראות איך זה מתבצע :

    http://www.ichess.co.il/articles.html#!

שלח תשובה