[問題] ckeditor會吃掉id、class、跟行內js?

看板Web_Design作者 (Little Five)時間10年前 (2013/12/20 17:08), 編輯推噓0(006)
留言6則, 2人參與, 最新討論串1/1
今天客戶反映用ckeditor編輯網頁內容後, 在前台呈現出來會跑版跟js程式沒功能 檢查之後得知客戶會將用來設定css或觸發js事件的id、clsss以及js觸發點(ex:onclick) 寫在內容裡頭 首次編輯時這些屬性會被存起來沒問題, 但當第二次編輯時ckeditor內容區塊會將這些屬 性通通吃掉, 拿掉ckeditor用純粹的textarea查看這些屬性又是存在的, 因為如此當一筆 資料被"再編輯"後, 某些屬性可能會因此消失不見 本來以為是ckeditor不存取這些屬性,不過檢查後又發現有些元素的id、class沒被清除 不知道有沒有前輩知道這個是出了甚麼問題, 如果知道還麻煩替小弟解惑一下 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.33.9.244
12/20 18:20, , 1F
為了 xss 問題預設會吃掉
12/20 18:20, 1F
12/20 18:20, , 2F
可以用設定打開,但你要想一下是不是真的要開。
12/20 18:20, 2F
12/21 16:39, , 3F
用ckeditor + xss 去google, 找到同樣的問題跟解決的方式
12/21 16:39, 3F
12/21 16:39, , 4F
12/21 16:39, 4F
12/21 16:40, , 5F
謝謝TonyQ前輩, 關於安全性的問題我會在研究一下然後跟客
12/21 16:40, 5F
12/21 16:41, , 6F
戶解釋為什麼會這樣以及它的必要性, 謝謝
12/21 16:41, 6F
更多 DongFeng 的文章
文章代碼(AID): #1Ij0aciP (Web_Design)