推 oToToT: 直接送出去後,在後端做htmlspecialchars之類的就可以了吧 07/29 22:14
→ MangoTW: 轉成替代字元,他打角括號你就讓他顯示角括號就可以了。 07/29 22:16
這樣不行吧? <img..../> 變成 <img.../> 圖片就不能顯示了...@@"
推 mmis1000: 如果你想讓他可以輸入某些tag其實也有現成的處理lib可以 07/30 04:24
→ mmis1000: 幫你'消毒',保留你允許的標籤和屬性 07/30 04:24
※ 編輯: mchen11 (118.165.6.172), 07/30/2015 09:23:18
推 Peruheru: 你可以自己規範比如說圖片要用 [img]src[/img],自己轉 07/30 09:42
→ Peruheru: 然後使用上面的encode不允許使用者使用HTML標籤 07/30 09:43
→ Peruheru: 這樣一來出現的一定都是你允許的內容 07/30 09:44
推 LPH66: 或者就直接使用已有的類似編碼規範例如 BBCode 等 07/30 17:09
→ mmis1000: 像這種的,可以白名單你允許用的東西 07/30 18:23
→ mmis1000: 不過server還是要再跑一次,你不能相信client給的東西 07/30 18:24