Grafikart,
il y a 14 ans
Au moment d'enregistrer les données (PHP) tu nettoie avec un pti stip tag la balise script
Salut, je me pose la question suivante:
TyniMCE est un WYSIWYG js qui renvois les données directement formatées avec les balises html, j'ai remarqué qu'il refusé les balises <script> fort heureusement, mais lorsque le js est désactivé, on peut entrer dans le textarea les balises html que l'on souhaite mais qui s'affichent à la visualisation autrement dit faille XSS.
Avec l'éditeur, on ne peut pas utiliser htmlspecialchars car ça supprime toute la mise en forme de TinyMCE.Quelles serait d'après vous la solution simple et idéale pour pallier à ce problème. J'ai pensé à un parser, mais ça risque de faire assez lourd, car faut enlever la mise en forme pour chaque balise, protéger le contenu et le remettre.
2 réponses
elscorto,
il y a 14 ans
Ouais bien vu, mais je pencherai plus pour un preg_replace, un striptags virerai toute la mise en forme, puis à l'affichage aussi.
Je me suis essayé à créer un wysiwyg aujourd'hui mais c'est un peu la merdouille, donc je pense que je vais plus voir avec ta solution
Merci