2. 질의 응답
  3. TinyMCE add [제거] // 자바 스크립트 코드를 제출할 때 문자열

TinyMCE add [제거] // 자바 스크립트 코드를 제출할 때 문자열

2017-10-09 6 views
0

tinyMCE를 사용하여 한 페이지에 html 콘텐츠를 추가하고 있습니다. 나는 다음과 같은 코드를 추가 할 때 : 설명서에 따라,TinyMCE add [제거] // 자바 스크립트 코드를 제출할 때 문자열

tinymce.init({ 
selector: 'textarea:not(.mceNoEditor)', 
allow_script_urls: true, 
extended_valid_elements : "script[type|src]" 
});

과 : 여기 

<p>\n[removed]// &lt;![CDATA[\nalert&#40;"test"&#41;\n// ]]>[removed]\n</p>

는 TinyMCE에 구성입니다 : 

<script type="text/javascript">alert("test")</script>

을하고 양식을 제출, 원본이로 변경 스크립트 코드를 제거해서는 안됩니다.

아이디어가 있으십니까?

출처

2017-10-09 giorgio

답변

0

이 코드를 TinyMCE에있는 스크립트 다케에 허용 설정

tinyMCE.init({ extended_valid_elements : "extended_valid_elements : \"a[class|name|href|target|title|onclick|rel],script[type|src],iframe[src|style|width|height|scrolling|marginwidth|marginheight|frameborder],img[class|src|border=0|alt|title|hspace|vspace|width|height|align|onmouseover|onmouseout|name],$elements\","});

extended_valid_elements를 추가 할 수 있습니다.

출처

2017-10-09 12:46:53 Jinesh

+0

스크립트가 제거되었습니다. – giorgio

+0

이 링크를 사용할 수 있습니다. https://whmcs.community/topic/81029-tinymce-editor-allow-script-tags/ – Jinesh

+0

이것은 코드입니다 : tinymce .init ({ 선택자 : 'textarea : not (.mceNoEditor)', allow_script_urls : true, extended_valid_elements : "extended_valid_elements :"[클래스 | 이름 | href | 대상 | 제목 | onclick | rel], 스크립트 [유형 | src], iframe [src | style | width | height | 스크롤링 | marginwidth | marginheight | frameborder], img [class] src | border = 0 | alt | title | hspace | vspace | width | height | align | onmouseover | onmouseout | name], $ elements \ "," }); – giorgio

0

TinyMCE는 콘텐츠에 [removed] 문자열을 추가하지 않습니다. TinyMCE에는 콘텐츠를 추가 할만한 것이 없습니다.

JavaScript를 허용하면 모든 종류의 악용이 가능하므로 콘텐츠를 저장할 때 애플리케이션에 HTML을 암호화하는 코드가 있다고 의심됩니다. 프레임 워크에 대한 문서를 참조하여 특정 필드에 대한 위생 처리를 비활성화 할 수있는 방법이 있는지 확인하십시오. 즉, 은 사람들이 임의의 JavaScript를 제출하도록 허용하면 악의적 인 일이 일어나기 쉽다는 것을 알고 있습니다..

출처

2017-10-09 14:40:57

 관련 문제

  • 관련 문제 없음^_^