如何安全地清理接受完整HTML输入的文本区域

时间:2014-03-11 作者:tommyf

我正在开发一个插件,使用户可以在WordPress管理员中发送HTML电子邮件。我应该如何清理textarea输入?它必须能够包含HTML电子邮件中可能出现的全部HTML标记。如果我使用wp_kses() 然后我将不得不使用一个巨大的允许标记列表。

textarea通过自定义选项将其内容保存到db。

1 个回复
最合适的回答,由SO网友:s_ha_dum 整理而成

已经有了a huge list built for you, 可通过以下方式返回wp_kses_allowed_html() 基于上下文,并通过wp_kses_allowed_html 过滤,也可根据上下文过滤。创建这个列表应该不难。

然而,“HTML电子邮件中可能出现的整个HTML标记范围”应该非常接近普通帖子所允许的范围,所以wp_kses_post() 不费吹灰之力就能让你走得更远。

结束
标签: plugins   plugin-development   sanitization   小码农  

相关推荐

Plugins_url函数混合了系统路径和URL

在我的WordPress小部件中,我使用以下代码:wp_register_script(\'jquery-ui.widget\', plugins_url(\'assets/js/jquery-ui-1.9.2.widget.js\', dirname( __FILE__ ))); 不幸的是,代码给了我一个无效的URL,它与我的系统路径混合在一起:http://test.dev/wp-content/plugins/C:/projects/wordpress/plugins/assets/js/