是否有方式可以禁止 iframe 或是其它任何 html 标签 - Githubissues

Vanessa219 / vditor

♏ 一款浏览器端的 Markdown 编辑器，支持所见即所得（富文本）、即时渲染（类似 Typora）和分屏预览模式。An In-browser Markdown editor, support WYSIWYG (Rich Text), Instant Rendering (Typora-like) and Split View modes.

https://b3log.org/vditor

MIT License

8.25k stars 852 forks source link

是否有方式可以禁止 iframe 或是其它任何 html 标签 #1555

Closed Noahs007 closed 6 months ago

Noahs007 commented 7 months ago

你在什么场景下需要该功能？

基于 electron 类似的框架做一个本地markdown编辑器。

想尽可能提高应用安全性，防注入，想知道是否有方式可以禁止 iframe 解析，甚至说可以不用其它任何 html 标签。

描述最优的解决方案

有没有解析规则配置之类的，禁用某些语法。例如目前可以显示网页，希望这种标签直接显示文本好了。

描述候选解决方案

其他信息

Vanessa219 commented 7 months ago

@88250

ooyyloo commented 6 months ago

@88250

有办法吗？没看懂这个什么意思。我想在编辑框里使用白名单。

88250 commented 6 months ago

可以试试开关 lute.SetSanitize(true)，或者覆写相关渲染器：

Noahs007 commented 6 months ago

@88250 你好， vue 项目我这样初始化的 this.contentEditor = new Vditor("vditor", { ... }); ，请问想调用 SetSanitize(true) 可以直接通过 this.contentEditor 调用吗。

Vanessa219 commented 6 months ago

覆写后设置参数即可。