Salve a tutti,
ho creato una specie di lavagnetta formata da una textarea e una iframe. Quando l'utente digita il codice html nella textarea viene visualizzato nella iframe il risultato.
Come faccio ad impedire che l'utente distrugga qualcosa con del codice pericoloso?
Quale controllo devo aggiungere?
Vi ringrazio in anticipo.
Siti web Gallery: creazione siti web firenze
beh o attraverso le preg_replace eviti che l'utente possa inserire codice javascript ad esempio, oppure invece di far inserire direttamente codice html usi il bbcode[quindi i tag [b] come qua sul forum]
Come su detto, è un casino...
E' estremamente difficile evitare di inserire JS pur permettendo HTML.
Diciamo che se intendi avere un'applicazione "sicura" devi impedire di inserire HTML oppure abilitare un piccolo sottoinsieme di esso...
Chi ha idee migliori le posti, interessano molto anche a me soluzioni alternative!
Devi limitare l'uso di tag come script e fare il controllo di tutti i gli attributi src; non devi permettere l'uso dei caratteri speciali come &#xxx, ma non so se basti.
chi fa un esempio su come evitare determinati caratteri?
così si capisce meglio...
se ad esempio voglio sostituire i caratteri ' img src script href
come dovrebbe essere il codice?
grazie anticipatamente.
Permessi di invio
Rispondi quotando