如果您使用 tinymce,这是否意味着您必须在回传中处理 HTML 的解析(将数据保存到数据库时)?
即您必须解析输出并确保没有回发 hacky 脚本,或者您可以让 tinymce 将 html 转换为安全标记吗?
最佳答案
您永远不能依赖客户端来确保它发布到您的服务器的内容是安全的。
对于潜在的攻击者来说,禁用这些客户端措施并提交他想要的任何危险内容太容易了。
因此,无论您在浏览器中使用何种编辑器,您都总是必须在服务器端检查您的内容。
https://stackoverflow.com/questions/1613210/