Hej, jak sobie radzicie z takim przypadkiem że macie dać userowi edytor tekstu na stronie np. do pisania artykułów, który obsługuje podstawowe formatowania typu wyśrodkowanie, pogrubienie, font size, itd.?
Jakoś nie mogę doszukać się gotowców do podpięcia, a również zastanawiam się jak wygląda sprawa sanityzowania danych żeby ktoś nie podstawił jakiegoś jsa, a żeby edytor nadal miał te swoje funkcjonalności typu formatowanie <b>
itd.
Jeżeli chodzi o zapis na backendzie, to obstawiałem coś takiego, że edytor ma swoje własne znaczniki "pod spodem" jak np. markdown i przy późniejszym wyrzucaniu na front podmienia np. **text**
na <b>text</b>
, więc XSS nie grozi, chyba.
No bo raczej nie zapisuje się plain htmla mieszanego z tekstem w bazie i tak wyrzuca :P