我已经在Tinymce编辑器中找到了一个表单,因此任何用户都可以将其格式化为好看。
如果他在表单中写入任何恶意脚本,它会自动转义。但是如果用户使用Postman之类的东西欺骗和发布表单,他可以提交未转义的脚本(如iframe)。
如何验证Tinymce输入?如果我使用验证器插件与" escape"功能,它删除所有格式。我试图使用一些谷歌Caja插件来节点来消毒输入,但它没有删除任何恶意代码,如iframe。有什么帮助吗?
答案 0 :(得分:0)
我找到了一个非常好的Node.js模块来清理html输入。
它被称为Sanitize-html,它完全符合我的要求,从输入字符串中删除危险的html标签,您可以添加/删除特定标签