0
所以我使用TinyMCE编辑器,并通过使用htmlspecialchars()来处理获取文本区域中的内容,这很好,但我对使用所见即所得编辑器的另一方面有点困惑......内容输出部分。如何正确地转义HTML编辑器内容?
我使用HTML净化器输出的内容,但是从我的理解,我只是在做例如:
$purifierConfig = HTMLPurifier_Config::createDefault();
$purifierConfig->set('HTML.Allowed', 'p');
$Purifier = new HTMLPurifier($purifierConfig);
$input = $Purifier->purify($input);
我只用p标签进行测试,但是这是否意味着我我将不得不经历TinyMCE使用的所有内容,并将其添加为允许的内容?还是有更好的方法来解决这个问题,所见即所得编辑器的安全输出?
值得一提的是,HTML Purifier使用的_default_白名单相当安全。除非您想要比默认值更严格,否则您可以跳过设置“HTML.Allowed”。 :)(我不知道这个类是否作为答案 - 它与你的问题略有直接关系,但我想你可能想知道) – pinkgothic
是的,我刚刚使用了HTML.Allowed,以便TinyMCE的所有功能将在稍后输出内容时显示。谢谢(你的)信息! – Erdss4