例如,我有一个基于Javascript的表单创建工具.您使用链接添加元素的html块(如输入字段)和TinyMCE来编辑文本.这些通过自动保存功能保存,该功能在特定事件的后台执行AJAX调用.
被调用的保存函数可以保护数据库,但我想知道用户是否可以操作DOM来添加他想要的任何内容(如自定义HTML或不需要的脚本).
如果有的话,这有多安全?
首先想到的是我应该从收到的html代码中搜索并删除任何内联javascript.
使用PHP,JQuery,Ajax.
我们最近离开了tinymce,我们创建的自定义函数有一个工具栏按钮,一旦单击,就会在工具栏上方滑动一个自定义div,它在页面加载时附加到工具栏上.
现在的问题是在使用Inline版本时对CKEditor做同样的事情.由于任何时候都有十几个实例处于活动状态,如何在单击自定义插件按钮后获取当前弹出的内联Ckeditor实例,以便我可以使用jQuery追加它?
使用最新版本的4.x of CKEditor.
(也在他们的演示页面http://ckeditor.com/demo#inline上)
为什么会这样?即使我采用他们的内联样本(http://nightly.ckeditor.com/13-02-08-08-51/standard/samples/inlineall.html)并删除标题块的单独工具栏的js代码,我仍然没有得到对齐选项.
我想让用户选择对齐标题.我错过了什么?
我也没有像BulletedList那样获得其他"阻止"选项,但这不是一个问题.
更新:要重复此问题,您需要将contenteditable ="true"应用于标题元素.因此,一个解决方法是将标题包含在div中,其中contenteditable ="true".但这对我的情况没有帮助.