|
| |
 9.7 Кб |
|
| |
для: confirm
(01.09.2012 в 16:33)
| | | Я бы все равно поискал "болт". Чтобы понять, как он решает задачу с сущностями.
Попробуйте, все же, пример ниже. У вас не получится передать сущности, вставленные с помощью jquery (кроме text(), что лишено смысла), а вот "болт" это как-то делает.
Его срипт прикурочен. | |
| |
|
|
| |
|
|
| |
для: Deed
(01.09.2012 в 16:46)
| | | Ну я вам о чем говорил выше? Я не знаю как работает этот редактор, не пробовал его, так что сказать определенного ничего не могу. Но вы ведь прекрасно понимаете, что среди всех этих тегов вами разрешенных, с большой вероятностью могут быть и не разрешенные, а так же символы, которые в любом случае нужно будет пропускать через htmlspecialchars() при выводе на страницу. Тоже самое и при редактировании такого кода, нужно думать об этом. | |
| |
|
|
| |
|
|
| |
для: confirm
(01.09.2012 в 16:33)
| | | Тю! Какой же смысл в высвиге, если потом все передавать htmlspecialchars'ом??? | |
| |
|
|
| |
|
|
| |
для: Deed
(01.09.2012 в 16:08)
| | | JS тут не при чем. Вы как отдаете данные в форму пользователя? Наверное же так:
<textarea><?=htmlspecialchars($var);?></textarea>
|
И не удивляетесь же, что отдав в форму <, получите все равно <.
Так что не стоит искать ключ к "болту", это такой механизм, без него было бы туго. | |
| |
|
|
| |
|
|
| |
для: confirm
(01.09.2012 в 15:41)
| | | Ха!! Есть, дружище confirm!!!
Не подвела интуиция!
Знач, решение снова "подогнанное". Как и в форме для поста-картинки, прикурочил к новостной форме скрытый див с задизабленной кнопкой:
<form>
.../some code/...
<div style="display: none;"><input type="submit" value="Submit" id="politsubm" disabled="disabled"/></div>
</form>
|
И клик по внешней кнопке передаю на нее:
...туда-сюда...
$('#politsubm').removeAttr('disabled').click();
|
И приходят они на сервер, эти html-сущности!
Стало быть,... хрен его знает, почему так. Скорее всего, есть какой-то "хитрый болт" в js редактора. | |
| |
|
|
| |
|
|
| |
для: Deed
(01.09.2012 в 15:37)
| | | Нет, почему. Просто я уже сказал как бы поступил - не искать источник, а отправлять безопасное. | |
| |
|
|
| |
|
|
| |
для: confirm
(01.09.2012 в 15:31)
| | | Утомил вас, наверное?
Ладно, проблема решения не имеет, кроме как обработки пришедших данных на сервере.
Спасибо вам преогромное, confirm!! | |
| |
|
|
| |
|
|
| |
для: Deed
(01.09.2012 в 15:28)
| | | Да не важно кто виноват, главное что вы получаете на сервере. | |
| |
|
|
| |
|
|
| |
для: confirm
(01.09.2012 в 15:12)
| | | Запустите, пожалуйста, приведенный ниже код.
Попробуйте ввести в текстарею "<script>alert('WTF??');</script>" вручную и нажать кнопку ОК! и вставить то же самое, кликом на BUT, с последующей отправкой формы.
И вы убедитесь, что, оказывается, редактор здесь не при чем... | |
| |
|
|
| |
|
|
| |
для: Deed
(01.09.2012 в 14:44)
| | | Жаль. Ну даже в этом случае, я бы отредактировал редактор - на клиенте теги, а отправляются ВВ-эквиваленты. Что парсить в поисках вредного среди разрешенного, что превращать ВВ в теги, как ни крути все равно карячится придется. Так уж лучше превратить разрешенное, без труда превратив в строку запрещенное и некорректное для html. | |
| |
|
|
|
