我有时间插入帖子到数据库中,他们随后将被拉并放入网页。问题是有些元素干扰了页面元素。
。也许正在复制/粘贴的HTML将有一个表HTML标签,其id与页面上已经存在的另一个id冲突。或者可以在style属性中添加一个z-index,这样帖子就可以覆盖页面的某些元素。
我真的不想把属性列入黑名单,因为(撇开XSS考虑)我认为所有的属性都应该被认为是公平的游戏(好吧,也许不是事件处理程序),如果它干扰了布局,我可以逐个禁用那些特定的标签/属性。
任何想法?
有几种方法可以过滤你的内容:
- 使用timymce paste_preprocess参数在插入之前过滤粘贴的内容
- 你可以使用valid_elements, valid_children和extended_valid_elements设置来允许tinymce接受哪些元素和属性作为有效的html标签(这是你不想要的?)
- 您可以在将代码写入数据库之前对其进行过滤
- 当你把内容从数据库放到另一个网页时,你可以过滤它