質問編集履歴
1
誤字の修正をしました。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -126,7 +126,7 @@
|
|
|
126
126
|
|
|
127
127
|
|
|
128
128
|
|
|
129
|
-
ここで上記のsample.htmlにおいて、2通りの値の取得方法があります。
|
|
129
|
+
ここで上記のsample.htmlにおいて、2通りのエディタの入力値の取得方法があります。
|
|
130
130
|
|
|
131
131
|
0. htmlでそのまま出力して値を取得する `editorInput.value = editorHtml; //html形式で取得する`
|
|
132
132
|
|
|
@@ -192,9 +192,9 @@
|
|
|
192
192
|
|
|
193
193
|
### 検討1
|
|
194
194
|
|
|
195
|
-
そこで、まずライブラリが提供する、上記のJSON形式のデータをパースしてHTMLを再構築した上で、"insert"の値をhtmlspecialchars()で出力することを検討ました。hrefやsrc属性の中身もリスクがある認識ですが、そのチェックは
|
|
196
|
-
|
|
197
|
-
ただ、実際の構造を見ていたくと分かる通り、`<ol><li>`のネスト構造を識別し難いことや、`attributes`が属性だけを属性だけを指すのではなく例えば`size`の指定があれば、`<span>`を作った上で、特定の`class`属性を指定するなど、実に使いづらい印象で、直接HTMLを取得して、自ら許可するタグを置換してホワイトリスト方式のアプローチで値を格納して出力する方がより効率的で合理的であると考えました。
|
|
195
|
+
そこで、まずライブラリが提供する、上記のJSON形式のデータをパースしてHTMLを再構築した上で、"insert"の値をhtmlspecialchars()で出力することを検討しました。hrefやsrc属性の中身もリスクがある認識ですが、そのチェックは別途するものとしてここでは割愛させていただきます。
|
|
196
|
+
|
|
197
|
+
ただ、実際の構造を見ていただくと分かる通り、`<ol><li>`のネスト構造を識別し難いことや、`attributes`が属性だけを属性だけを指すのではなく例えば`size`の指定があれば、`<span>`を作った上で、特定の`class`属性を指定するなど、実に使いづらい印象で、直接HTMLを取得して、自ら許可するタグを置換してホワイトリスト方式のアプローチで値を格納して出力する方がより効率的で合理的であると考えました。
|
|
198
198
|
|
|
199
199
|
|
|
200
200
|
|