0
理想情况下,我希望允许用户像编辑tumblr一样编辑HTML,您可以在浏览器中编辑主题HTML。你也得到完全控制。我听说过诸如html-purifier之类的工具。允许用户编辑和存储HTML
除了“净化”HTML以外,还应采取其他措施。
A
回答
1
前几天我问了一个similar question哪些可能对你有帮助。
我会将所有用户生成的HTML存储在另一个域/子域中,以避免cookie被窃取并使您的cookie成为HttpOnly,以便它们无法通过JavaScript进行访问。您可以在主域名上设置您的Cookie(用于身份验证等),而无需子域名。另外,您可以使用CSRF令牌来避免自动滥用。
如果你想禁止有害的代码/ JavaScript,你必须过滤你的HTML,如果你这样做,你应该白名单所有允许的标签,而不是黑名单禁止标签(因为新的HTML5来了,甚至浏览器 - 具体的)。
另一个挑战是过滤属性(像onclick这样的事件属性允许执行JavaScript)。
另一个用户也呼吁我注意Content Security Policy这是一个头(但不幸的是只有少数浏览器支持)。
但这取决于您想给用户多少自由。
相关问题
- 1. 允许用户编辑CSS
- 2. 显示字段,允许按钮编辑和保存html
- 3. 只允许某些用户编辑ASPxGridView
- 4. 管理员用户允许删除和编辑其他用户
- 5. 如何存储用户信息并允许用户编辑,管理和删除它
- 6. Pypi:不允许存储或编辑包裹信息
- 7. MVC5:允许用户只查看和编辑自己的信息
- 8. AWS仅允许用户访问弹性beanstalk实例和存储
- 9. EditText不允许编辑
- 10. TextField不允许编辑
- 11. 形式不允许编辑
- 12. 是否有可能允许用户在angularjs应用程序中编辑和保存html模板
- 13. 允许用户无需编辑帐户:url中
- 14. 允许用户编辑帐户,而无需身份在网址
- 15. 用户具有MySQL权限但仅允许选择,但phpMyAdmin允许编辑
- 16. 允许用户在C#asp.net应用程序中编辑文本
- 17. HTML - MongoDB不允许保存
- 18. 当允许用户编辑他们的模板时,freemarker安全
- 19. 允许在表1中用户编辑表2中的PHP/MySQL
- 20. QTableView - 不允许用户编辑单元格
- 21. 允许单个用户一次编辑Google电子表格
- 22. 允许用户编辑只有页面内容,并在WordPress
- 23. 允许用户编辑/添加/移动图像中的项目
- 24. 只允许用户编辑自己的内容
- 25. 允许用户只编辑他们的奏鸣曲
- 26. 什么,允许用户编辑网站维基风格
- 27. 允许应用引擎服务帐户编辑日历
- 28. 允许用户编辑UITableView单元格中的文本
- 29. Winforms Combobox - 不允许用户编辑项目
- 30. 允许用户仅编辑Ruby on Rails上的一些字段
MySQL与它有什么关系? – 2012-07-15 21:11:31
这一切都取决于你想让你的用户做什么。你必须提供更多的细节来得到具体的答案。是否有任何与您有关的特定场景?实施净化方法遇到麻烦吗? – Lix 2012-07-15 21:13:17
它必须存储在某处,因此mysql标记。 – 2012-07-15 21:28:12