Markdown编辑器服务器处理最佳实践


在自己的工程中使用了开源的EpicEditor,一种Markdown编辑器。但是从Markdown编辑器获取的内容在保持到MySQL数据库之前,应该要做一些过滤动作吧。比如引用第三方资源(JS/CSS/iframe),标签转义,避免SQL注入攻击等。

是否有最佳实践?是否有开源的组件可用?


没用过这个开源的编辑器,不知道你传到服务器的内容是 markdown语法内容还是 markdown转译后的html。
后者的话 可以使用Bleach进行html标签清理
for example:

allowed_tags = ['a', 'p', 'ul', 'li', 'h1']
new_html = bleach.linkify(bleach.clean(u"value html string",tags=allowed_tags, strip=True))

传送门: http://bleach.readthedocs.io/...


开源的组件我没找到,但是有关这个问题的简单讨论可以看这里,主要防范xss
sql注入的问题你应该使用严格的输入过滤、高级数据库连接类、ORM来防范。



相关阅读:
html中有多个form标签,每一个form标签下对应一个submit,为什么未输入内容的form表单也会提交?
canvas背景不透明,但内部某元素透明(类似镂空效果)
php制作中英文两版网站比较方便的思路
使用iconfont在线使用时,出现多个空格,求解答
使用pjax的时候直接跳转到页面了,不能替换页面中的某个div
gdb都能调试什么类型的文件?
这种在App加载页面前的显示是什么技术或者框架?
boostrap-table可以接收string类型吗
访客能够通过猜测的方式伪造出一个正确的session id并进行不好的行为吗?
react中const {dispatch} = this.props;
tomcat配置问题
vue-router如何将接口返回的数据传给组件初始化
为什么我的程序跑的很慢?
刚入门PHP,是否有必要学习JAVA
JS prototype原型问题
关于移动端localstorage 手机浏览器无效果
PHP中的$_REQUEST和$_POST|$_GET有什么区别??
react这个错是什么意思,要怎么解决
.htaccess 文件导致的自动加载问题
百度数据图谱的插件



快速导航

Copyright © 2016 phpStudy |