我为我的用户提供了一种方法,通过在其设置页面中输入一些CSS来更改其用户页面的CSS。下面是HTML:将用户输入过滤为CSS
<textarea class="code" name="Settings[css]"></textarea>
在控制器:
$model = new Profile;
$model->css = $_POST['Settings']['css'];
我目前还无法验证CSS领域的投入。 我想知道我是否可以过滤CSS,以便他们不会将有害的代码放入页面。例如,他们可以这样做:
</style>
Now I can put bad code in to your page
我不认为因为CSS通常包含特殊字符HTMLpurifier净化CSS是合适的,但纠正我,如果我错了。
感谢
我从你的问题中删除了'yii'标签,因为这不是Yii特有的。 – DCoder 2012-04-22 10:12:43