2
我可能需要在未来的某个时间实现,但我认为现在问题的触发主要是好奇心。
我想到如何编写一个文本编辑器到我很快就会建立的网站上,并且看到了这个网站的(和其他的)方式,所以我想 - 这不是太复杂了吗?如果应该首先使用标签,为什么不让用户使用HTML标签?我能想到的唯一原因是我不太了解HTML注入,但这听起来像是一个容易解决的问题,不是吗?为什么不在网站的文本编辑器中使用HTML标签?
谢谢。
A
回答
4
只是因为不是所有的用户都会知道HTML。 *bold text*比<b>bold text</b>更容易理解(并且以原始形式阅读)。特别是如果你进入链接。
我们使用Markdown,Textile和其他的原因是为更多的用户提供了一个很好的选择。
当然,您仍然可以为您的用户提供使用HTML的能力(它在Markdown规范中),但您必须进行大量检查以确保没有任何恶意行为 - 例如,阻止<script> ,,大图像,JavaScript形式<a href="javascript:alert("...");">等
2
从历史上看,像BBCode这样的系统旨在将可用的格式化元素限制为不会破坏网站布局的事物,但现在,使用更成熟,更智能的HTML解析器,不需要创建新的标记语言禁止某些不安全的HTML标签。
我目前看到的主要原因是HTML对大多数用户来说是陌生的,HTML替代品旨在提供日常用户需要的格式化指令的简化版本。
2
有几个原因,你不应该使用HTML标签在这样的编辑器:
1)这可能是用户不太复杂的,如果你介绍自己缩减标签集
2)HTML注入:有危险的HTML代码被注入的风险很大。
如果你真的想要允许HTML代码,你必须非常小心。
1
HTML脚本注入是最重要的不是一个简单的问题来解决。 HTML是一个相当复杂的问题,检测所有可能的漏洞是一个非常困难的问题。许多网站都尝试过,并且失败了。从防止漏洞的POV,到仅仅完全禁止HTML,或者只允许一小部分标签都更容易。
相关问题
- 1. 为什么浏览器不能用worng html标签来网页?
- 2. 为什么锚标签在tinymce编辑器中消失?
- 3. 为什么JavaScript标签使用“文本”?
- 4. 为什么不编辑为呈现HTML?
- 5. 标签中文本的Android和iOS不一致 - 编辑器
- 6. ACE编辑器的HTML标签?
- 7. 在本地编辑网站
- 8. 为什么编辑HTML
- 9. 为什么<hr>标签在网站上不可见?
- 10. 如何编辑joomla网站中的标题标签
- 11. Sitecore如何从你的富文本编辑器中隐藏/禁用HTML标签
- 12. 不能在openCMS中使用网站地图编辑器
- 13. 什么是网站最好的在线编辑器?
- 14. 使用文本编辑器编辑服务器中的文件
- 15. 为什么奇怪的字符出现在网站上,但不是在HTML编辑器?
- 16. WordPress允许在html编辑器中使用PHP标签 - 使用if else语句包围html标签
- 17. 为什么不能在HTML输入标签使用\”
- 18. 为什么在jsp编辑器中,eclipse helios中的内容/代码无法在html标签中工作?
- 19. 我如何HTML编码可能有html标签的文本,而不使用Javascript编码标签本身
- 20. 为什么我不能使用标签保留文本框?
- 21. 使用可视编辑器的网站的横幅/标题
- 22. 用于编写RFC文本文件的编辑器是什么?
- 23. 为什么HTML标签不承认
- 24. 保留html标签,因为它在tinymce编辑器
- 25. 为什么DotNetNuke文本编辑器控件总是用iPad显示HTML代码?
- 26. 我的按钮内的文本可以在HTML中编辑。为什么?
- 27. 崇高的文本编辑器使用什么gui库?
- 28. 为什么span标签中的文本不居中?
- 29. 嵌入在网站中的SVG中的实时编辑文本
- 30. 什么是符合这个标准的Windows文本编辑器
++感谢HTML注入的具体示例。 – 2010-09-06 21:23:59