contenteditable=true属性安全吗?我没有看到它被广泛使用。如果要使用它,我需要做哪些安全保护?它是完全安全的。contenteditable属性是一个枚举属性,其关键字为 空字符串、true 和 false。空字符串和 true 关键字映射到 true 状态。false 关键字映射到 false 状态。此外,还有一个第三个状态——继承状态,这是缺失值默认值(以及无效值默认值)。
contenteditable="" or contenteditable="true"
contenteditable="false"
表示该元素不可编辑。
contenteditable="inherit"
如果元素的直接父元素可编辑,则表示该元素可编辑。这是默认值。
当您给一个元素添加contenteditable属性时,浏览器会使该元素可编辑。此外,该元素的任何子元素也将变为可编辑,除非子元素明确设置了contenteditable="false"。
我认为你所说的“安全”,是指用户在从Word或其他网页或聊天应用程序复制内容时是否可能意外触发XSS或类似问题。
好的,这取决于:
您可以在可编辑的iframe上使用sandbox="allow-same-origin"属性,这将阻止iframe内部执行所有javascript。
为了防止加载外部资源,您可以提供一个CSP,将资源限制为您的域或完全禁止外部资源。
但请注意:如果iframe与父级源相同,则iframe中的CSP也会在某些浏览器中限制父站点。需要同源才能访问iframe的编辑内容。
然而,您可以使用不同来源的iframe,并通过CSP对其进行限制,其中包含一个如上所述被沙盒化的contenteditable iframe。第一个iframe(包含沙盒化的iframe)可以使用javascript和message passing与您的顶级页面/来源进行通信。
据我所知,您无需在服务器端执行特殊操作。您可以使用普通的文本区域来完成可编辑的所有工作。 使用HTML Purifier或一些基于白名单的类似过滤器。
contenteditable="true"添加到您的body标签中,从而删除您网页上的所有内容和元素。现在...它不会损害您的网站,因为它不影响服务器端。但这取决于您的用例。您打算如何使用它?总之,它并没有比表单输入更危险。