WYSIWYG 限制可以放入的 HTML

Question

我正在寻找一个所见即所得的工具，它允许我指定文本区域中允许的 HTML 标签白名单并呈现它们，同时丢弃其他任何内容。如果用户复制并粘贴内容或手动编辑 HTML，则需要运行此验证。

有点像 HTML Purifier，但采用 Javascript 所见即所得。

我已经尝试过 CKEditor 的 dataProcessor.dataFilter 设置，但这需要列出要排除的每个标签，因此它是黑名单而不是白名单。

有什么想法吗？

编辑...

请不要简单地建议使用{xyz}编辑器。我正在寻找带有代码示例的建议，展示如何以这种方式使用建议的编辑器。

Answer 1

使用tinyMCE，您可以获得有效元素、无效元素和扩展有效元素

您可以查看这些代码并使用配置通过查看 示例

提交表单或按下删除格式按钮（如本示例中）运行验证并退出所有无效的格式。

您必须小心，因为这并不能确保恶意用户不会直接向您发送无效的 html 并尝试导致 XSS 攻击。这意味着如果您打算再次向用户提供 html，您仍然需要在服务器端进行验证。