html - 我应该清理托管 CMS 的 HTML 标记吗?

标签 html xss sanitization

我正在考虑为客户启动类似 CMS 的托管服务。

实际上,它会要求客户输入文本,这些文本会提供给前来访问其网站的任何人。我计划使用 Markdown,可能与 WMD(SO 使用的实时 Markdown 预览)结合用于大文本 block 。

现在,我应该为 html 清理他们的输入吗?考虑到只有少数人在编辑他们的“CMS”,所有付费客户,我应该剥离糟糕的 HTML,还是让他们疯狂?毕竟是他们的‘地盘’

编辑:我之所以这样做的主要原因是让他们使用自己的 javascript,并拥有自己的 css 和 div,以及不用于输出的内容

最佳答案

为什么您不会清理输入?

如果您不这样做,您就是在招来灾难 - 对您的客户或您自己或两者都是。

关于html - 我应该清理托管 CMS 的 HTML 标记吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/176195/

上一篇:javascript - 行编号和复制/粘贴 (HTML/CSS)

下一篇:html - 使用 Emmet 在 Visual Studio Code 中包装 HTML 元素

相关文章:

html - 带有h3标签的图像向下滑动

javascript - 如何在 PHP 表单重定向中阻止 XSS

xss - Markdown 和 XSS

node.js - 使用 node.js 清理来自 stdin 的流

javascript - 网络音频API : How to use FFT to convert from time domain and use iFFT to convert the data back

c# - 使用控件 asp.net 动态填充 <td>

java - OutputStream 写入 byteArray - XSS 预防

php - 在保存到数据库之前清理 $_SERVER ['HTTP_USER_AGENT' ] & $_SERVER ['HTTP_REFERER' ]?

html - 为什么将 HTML 表单提交按钮命名为 "submit"会破坏内容?

c# - AntiXSS 不会清理未封闭的 html 标签

©2024 IT工具网  联系我们