允许用户添加 html 格式的注释

Question

我们希望允许 Web 应用程序的用户留下 html 格式的注释。

在客户端，我们为他们提供 ckeditor [http://ckeditor.com/]，这是一个生成 html 的 wisywig 编辑器，然后通过表单提交到服务器

然后我们想要显示用户创建的注释，使用与他们提交的格式完全相同的格式

我的担忧是：

1. 抛开攻击和恶意意图不谈，我如何在网站上显示时封装注释，以便 一个。它们不会继承页面其余部分的设计 b.它们不会影响页面的其余部分，例如意外打开和不关闭标签，或者在没有打开的情况下关闭。

2. 恶意代码注入攻击

目前，第一个更为重要，因为它是我们客户的内部产品，不向公众开放。但安全评论也非常受欢迎，

我考虑的可能解决方案是：

1. 理想情况下，我寻找一种方法来封装这部分用户 html，例如：在该区域内，我显示您提交的内容（呈现的，不是源代码），您不能影响页面其他部分的代码，也不受其影响

具体来说，我们考虑在 iframe 内显示注释。

1. 其他自然方向是处理解析插入的内容并剥离内容。

欢迎任何输入，主要是：

• 如果可以的话，我如何“封装”插入的内容？

• 关于 iframe 方向的任何评论

• 我是否必须解析内容？我绝对必须删除什么？

Answer 1

如果可以的话，我怎样才能“封装”插入的内容？

事实是，除非你“修复”他们的代码（通过某种检查），否则你会遇到问题（比如损坏的 div 等）。我不明白如何封装 HTML FROM HTML。然而，我只会让他们输入粗体、斜体、居中等内容；

对 iframe 方向的任何评论

就我个人而言，我不会走这条路，为了安全而采取新的蠕虫方式，而不是一种“干净”的方式。

我是否必须解析内容？我绝对必须去掉什么？

是的，不要偷懒，一些开发人员总是说“好吧，我不需要它，它是内部的”，然后它就变成了一个外部的东西，到那时它就太大了只有完全重写才能将其纠正，并且它会一直持续下去，直到有什么东西被破坏，然后狗屎撞到了风扇，大老板大喊为什么这还没有完成。长话短说。

是的，您必须解析/验证/检查所有输入，无论是内部还是外部。除此之外的任何事情都是懒惰的。

最后，我将使用像这里这样的编辑器来完成它，它只允许某些类型的选择性格式化。毕竟，损坏的 不会破坏整个布局，

会...

Answer 2

Markdown 格式

您可以使用与此站点 (StackOverflow) 在其用户生成的内容（问题、答案、评论）中使用的完全相同类型的中间解决方案。

它不是可以取代代码编辑器等所见即所得解决方案的完整解决方案，但它正是通常的用户生成内容所需要的。它甚至允许您包含图像。

如需完整指南：
https://www.markdownguide.org/cheat-sheet