我熟悉CKEditor,它将粗体文本转换为HTML标记<strong>。其他编辑器(比如这个网站上的编辑器)使用Markdown格式,我看到用星号包裹的粗体文本,而不是像**text**这样的HTML。
Sp这是否意味着使用markdown编辑器可以在默认情况下保护您不受用户输入中任何XSS的影响?我认为是的(这是我想使用markdown编辑器而不是ckeditor的主要原因),但我想仔细检查。
据此:http://michelf.com/weblog/2010/markdown-and-xss/
它不会在默认上转义XSS
没有XSS安全客户端编辑器。即使编辑器不允许您插入任意HTML,也很容易有人绕过编辑器提交任意HTML。
唯一安全的解决方案是清除服务器上的HTML。