※ 引述《chan15 (ChaN)》之銘言： : 今天內文部分提供了 CKEditor，並且開方編輯 source 的權限 : 所以 user 是可以寫像 <script>alert(1);</script> 的語法 : 前台為了呈現其他編輯器的效果是不能用 htmlspecialchars 過濾的 : 該如何呈現 HTML 又過濾 xss 呢 在你沒有額外設定的時後，CKEditor預設有黑名單會過濾script tag -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.218.65.251 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1441634789.A.502.html