CKeditor 让最终用户提交内容安全吗?
我即将让一些用户在我的网站上发布文章。
为了让他们更容易,我正在考虑使用 CKeditor,让他们有链接、图像、格式等......
但是我正在考虑 javascript。有人可以注入 javascript 或者 CKeditor 会清理它吗?我需要自己过滤吗?
I am about to let some users publish articles on my site.
To make it easier for them, I was thinking of using a CKeditor, let them have links, images, formating, etc ...
However I was thinking of javascript. Can someone inject javascript or will CKeditor clean it up? Do I need my own filtering?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
即使像 CKeditor 这样的应用程序生成了有效的代码,也应始终检查用户提交的内容。您可以使用 HTMLPurifier 进行服务器端清理。
Content submitted by the user should always be checked, even if an application like CKeditor generates valid code. You can use HTMLPurifier for serverside sanitizing.