我创建了一个联系页面,用户可以在其中添加消息。我使用 tinymce 作为表单。
问题在于我显示所有消息的位置。我无法使用 {{{ $message->body }}} 因为它将 html 标签转换为字符串。如果我使用 {{ $message->body }},它会执行 JavaScript 并且可能很危险。
如果包含脚本标签,我需要一些东西来使表单验证失败。那么在 Laravel 4 中该怎么做呢?有没有一种“laravelic”方法可以做到这一点?
最佳答案
我想你可以尝试这个(在 User Contributed Notes 中查看):
$tagsToStrip = array('@<script[^>]*?>.*?</script>@si'); // you can add more
$message = preg_replace($tagsToStrip, '', $message->body);
关于javascript - Laravel 4 如何防止 js 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23721927/