Salut, je me pose la question suivante:
TyniMCE est un WYSIWYG js qui renvois les données directement formatées avec les balises html, j'ai remarqué qu'il refusé les balises <script> fort heureusement, mais lorsque le js est désactivé, on peut entrer dans le textarea les balises html que l'on souhaite mais qui s'affichent à la visualisation autrement dit faille XSS.
Avec l'éditeur, on ne peut pas utiliser htmlspecialchars car ça supprime toute la mise en forme de TinyMCE.Quelles serait d'après vous la solution simple et idéale pour pallier à ce problème. J'ai pensé à un parser, mais ça risque de faire assez lourd, car faut enlever la mise en forme pour chaque balise, protéger le contenu et le remettre.
elscorto
