Tôi đang sử dụng TinyMCE trình chỉnh sửa cho văn bản được nộp trong các mẫu Django.Sử dụng bộ lọc an toàn ở Django cho các trường văn bản có định dạng
Bây giờ, để hiển thị văn bản có định dạng lại cho người dùng, tôi buộc phải sử dụng bộ lọc "an toàn" trong các mẫu Django để văn bản HTML phong phú có thể được hiển thị trên trình duyệt.
Giả sử JavaScript bị tắt trên trình duyệt của người dùng, TinyMCE sẽ không tải và người dùng có thể vượt qua <script>
hoặc các thẻ XSS khác từ trường văn bản như vậy. HTML như vậy sẽ không an toàn để hiển thị lại cho Người dùng.
Làm cách nào để quản lý Văn bản HTML không an toàn không đến từ TinyMCE?
Bảng gian lận XSS là một ví dụ tốt về lý do tại sao thực hiện các quy trình dọn dẹp HTML là một quá trình khá vô ích. Thẻ html trong danh sách trắng thực sự là cách duy nhất để tránh hoàn toàn điều đó. –
+1 cho liên kết tuyệt vời.Tôi nghĩ rằng các ứng dụng trong tương lai của tôi sẽ có ít lỗ hổng hơn cho việc này. Cảm ơn bạn. –