我在使用HTMLPurifier php库时遇到了问题。我在我的应用程序的所有文本区域使用名为'Summernote'的所见即所得编辑器。所见即所得在纯化后呈现的脚本标记
当写内部sommernote喜欢的东西:
<script>alert('test');</script>
POST数据来作为通过
<p><script>alert('test');</script></p>
然而,一旦这是通过HTMLPurifier跑了,它不会删除脚本标签被转换成普通字符。所以当我在summernote中编辑这个文本时,它实际上运行脚本!
这里是什么处理到编辑器中的图像:
这里是如何存储在数据库中:
如果任何人有任何想法,请让我知道!
编辑:另外,如果我禁用了Summernote所见即所得编辑器,使用HTMLPurifier进行清理时,将成功从textarea中删除标签。
这是问题(使用'输出用htmlspecialchars()'来编辑),我完全忘了这个功能。万分感谢! – 2014-09-30 19:14:00
甜。很高兴你修好了它! :) – pinkgothic 2014-09-30 21:44:46