仅使用HTML编辑器而不是Textarea安全吗？

Question

我正在考虑将我的论坛输入textarea专门转换为TinyMCE HTML编辑器。我已经有两个选项，但它是一个痛苦的维护和插入图像在textarea需要预览等...

这是一个更普遍的问题。作为论坛上唯一的编辑器，你认为包含HTML编辑器（包括所有安全措施，如仅粘贴文本，过滤不允许的HTML等）是安全的吗？这是2011年，机器通常很快，连接更好。

使用HTMl编辑器代替文本字段有什么缺点？我无法想象一个博客CMS有“正常”textarea输入。

但由于某些原因，在论坛上我没有看到很多html编辑器...即使是TinyMCE网站也有一个textarea供他们的编辑使用。那么真的有什么值得注意的吗？一个不去...？

我知道它更是一个phylosophical问题，但我猜你有论坛，博客等体验...

我的网站是关于烹饪和beeing能够插入图片（和上传）的简单的方式似乎是我们的家庭厨师的一大优点;-)

Answer 1

如果你不考虑安全性（你需要过滤服务器端的HTML输入，所以它不会包含任何危险），只有用户体验才有待考虑。在一个论坛上，你大部分时间都会写文字。很少有任何用于更多功能比大胆，斜体和图像。 Stack Overflow在这里使用的解决方案是通过使用一组非常有限的函数来解决这个问题，并将其用于一个理智的标记语言的textarea中。

其他论坛要么使用旧软件，要么没有认为改进的用户体验是值得的。 textarea-only解决方案适用于大多数论坛，因为大多数输入都是纯文本的。

我认为你会从HTML输入中受益。确保只允许发送允许的HTML，因为用户可以规避客户端的所有内容。

Answer 2

TinyMCE使用Javascript将功能添加到现有的textarea。如果JavaScript被禁用，那么用户将会看到正常的textarea。

我会说这是相对安全的，只要用户的所有输入在服务器上进行验证后再用于任何事情。