28 июня 2012 в 14:06
Доброго дня.
Использую Input Format - Filtered.
Необходимо удалять теги, точнее пропускать разрешённые.
Стала необходимость редактировать текст(Добавить цвет).
Заметил, что режуться все аттрибуты, кроме class.
Мне необходимо пропустить аттрибут style.
Или это уже небезопасно с точки зрения XSS?
Спасибо.
Комментарии
Не безопасно.
Закроет страницу полностью.
Самый простой пример.
Есть такой модуль - Wysiwyg Filter, он позволяет пропустить свойства стилей и контролировать для каких элементов какие стили будут доступны.
Иными словами, вы, например, можете включить только свойство 'background-color' и только для тэга 'p' и/или 'a'.
Спасибо.