1
我有这个财产是HTML从TinyMCE的编辑保存:如何在CakePHP 2.2中输出原始HTML?
<?php echo h($person['Person']['CurriculumVitae']); ?>
我怎样才能把它显示在网页上,并渲染为原始的HTML不是一个简单的字符串?
A
回答
2
不要住变量在h(),别名为htmlspecialchars(),其转义HTML实体:
<?php echo $person['Person']['CurriculumVitae']; ?>
+0
这不是一个好主意,要么是因为现在可以通过此字段注入恶意代码(如果根本没有发生sanitazion)。 – burzum
+1
我并不反对,但OP确实要求* raw * - 没有什么比XSSed更原始! ;-)在我看来,消毒应该在(处理提交时)的路上发生,而不是出路。 –
2
只是为了去除H()可能会解决你的问题,但它会打开,因为潜在的安全漏洞使TinyMCE中的html保持不变的字段现在将成为一个可能的安全漏洞。
我有完全相同的问题,并通过使用http://htmlpurifier.org/来解决tinymce HTML的输出问题。我也写了一个CakePHP插件。 https://github.com/burzum/HtmlPurifier
HtmlPurifier将允许您配置一组允许的Html元素,甚至是它的属性。所以你可以例如指定允许href但class不是。
您需要为HtmlPurifier创建一个配置,以匹配用户使用TinyMce所做的任何操作。它会从用户输入的标记中删除所有不允许的标记和属性。
相关问题
- 1. 树枝原始html输出
- 2. 如何entitised HTML标签转换为“原始” HTML标签CakePHP中
- 3. Python生成的RSS:输出原始HTML?
- 4. 文字原始的HTML输出
- 5. 如何输出原始的HTML在外部JS文件
- 6. cakephp clean html输出
- 7. 如何显示HTML表格原始的SQL查询输出
- 8. 在ASP页面中发出原始html?
- 9. 如何在CakePHP 2.2中使用haml-sass?
- 10. 如何在Go中转换原始HTML?
- 11. 如何在PHP中回显原始HTML?
- 12. 在Joomla中的原始输出
- 13. 在CakePHP的2.2
- 14. symfony输出原始图像
- 15. CakePHP - 如何告诉控制器的操作输出原始图像头?
- 16. 如何在反应中输出原始括号`{}`?
- 17. 如何在emberjs模板中输出变量的原始值
- 18. 如何在使用RazorEngine(不是来自MVC)时输出原始html
- 19. 的NodeJS SHA1得到原始输出(PHP SHA1原始输出当量)
- 20. Drupal的形式API输出原始的HTML
- 21. 如何在CREATE TYPE中使用原始的Postgres输入/输出功能?
- 22. CakePHP 3原始SQL查询
- 23. 从WordPress REST API获取原始HTML输出
- 24. 格式化原始的HTML输出的所有客户端
- 25. 将原始差异文件转换为彩色html输出
- 26. 如何从此Rails路由/帮助器输出原始未转义的html?
- 27. 加载原始组件的HTML输出的Joomla
- 28. Mediawiki原始输出与换行
- 29. Form Filter中的原始HTML
- 30. 如何在html中使用ruby输出?
请不要删除您的问题,除非这是一个完全不值得的问题。我花了5分钟写一个关于Persona模型关联的问题的详细答案,只让它说“这个问题已被其作者删除”。留下问题,并随时自行回答,但不要删除它。它可以帮助未来的人,而不仅仅是你。 – Dave