Hallo!
Ich nutze auf meiner Seite den "TinyMCE" (WYSIWYG-Editor). Der Editor selbst funktioniert zu meiner vollsten Zufriedenheit.
Allerdings gibt es nun 2 Dinge die mich doch etwas stören:
1. Ein etwas erfahrener Besucher kann spätestens durch das klicken des HTML-Tags beliebige Klassen/Id's zu den Tags hinzufügen und sogar Stylesheets und Javacscript-Dateien einbinden. Das möchte ich allerdings verhindern. So sollen Stylesheets, Javascript und bestimmte Klassen/Id's verboten sein, außerdem sollen die Style-Angaben bei Tags gefiltert werden und nur bestimmte erlaubt sein. Der Code den ich gemacht habe funktioniert aber leider nicht so ganz wie erwünscht, deswegen bin ich seit längeren auf der Suche nach einem Parser o.ä. der HTML-Code parsen und nach gegebenen Regeln filtern kann.
2. Wenn ein Besucher kein JS hat gibts auch kein TinyMCE, heißt er kann wirklich JEDEN Code in die Textarea schreiben. Gerade hier ist das filtern von großer Bedeutung. Wie aber damit umgehen ? Ich kann ja via PHP schlecht erkennen ob eine Person JS (de-)aktiviert hat. Gerade hier ist ein Parser ja extrem wichtig.
Kennt ihr dazu evtl. eine Lösung ? Nutzt ihr den TinyMCE und wie schützt ihr euch vor solchen HTML-"Hacks" (kann ja immerhin das Layout erheblich zerstören und durch JS geht ja noch viiiel mehr)