问题:在Web开发中常常用到富文本编辑功能。例如本帖!
例如在论坛发贴!例如网站的新闻发布模块!这些文本中除了有格式的文本外,还会有附件、图片等。
我的策略一般是这样的:
前台:使用一个富文本编辑器,如FckEditor。运行上传附件和图片。
前台的问题是:富文本中如何避免内容为脚本。例如:如果我在富文本框中输入<script>alert();</script>提交后,在JSP直接打印,那么alert()会执行。我用正在表达是校验过滤了<script>之类。但是赶紧这样可能有风险。请问大牛们,有没有好的方案????
后台:
方案一:富文本存放在数据库clob字段,附件存放在磁盘文件夹中。这样读取时要读一遍数据库,赋值到页面。附件以链接形式映射到服务器。方案二:将富文本保持为html文档保存在磁盘文件夹,不再读数据库,直接在通过<iframe src=""/>获取所有富文本。富文本包含附件的链接。那一种方案好呢?如果第二种。有没有直接将富文本保存为后台html的三方框架?请经验丰富的解释下!一般处理富文本的思路是什么?必要时给出写代码!
例如在论坛发贴!例如网站的新闻发布模块!这些文本中除了有格式的文本外,还会有附件、图片等。
我的策略一般是这样的:
前台:使用一个富文本编辑器,如FckEditor。运行上传附件和图片。
前台的问题是:富文本中如何避免内容为脚本。例如:如果我在富文本框中输入<script>alert();</script>提交后,在JSP直接打印,那么alert()会执行。我用正在表达是校验过滤了<script>之类。但是赶紧这样可能有风险。请问大牛们,有没有好的方案????
后台:
方案一:富文本存放在数据库clob字段,附件存放在磁盘文件夹中。这样读取时要读一遍数据库,赋值到页面。附件以链接形式映射到服务器。方案二:将富文本保持为html文档保存在磁盘文件夹,不再读数据库,直接在通过<iframe src=""/>获取所有富文本。富文本包含附件的链接。那一种方案好呢?如果第二种。有没有直接将富文本保存为后台html的三方框架?请经验丰富的解释下!一般处理富文本的思路是什么?必要时给出写代码!
解决方案 »
- jquery的append函数在firefox里面页面正常刷新,ie就是不刷新页面
- apache和tomcat整合后下载文件取消造成CPU占用超高的问题
- WEB开发中的架构问题
- hyperlink能不能把部分参数隐藏?
- 大家都来看看啊,放光所有分,只求一问
- 不用odbc连接access数据库,数据库地址如何用相对路径表示?
- 请问各位大侠,如何用jsp优雅的实现用户必须登陆后才能下载资料?
- CJEAstruts研讨会中的例子,jdk开发struts的FormBean和ActionBean报错?(另一问)
- 请教Applet的Policy文件安全问题:服务端都配置好了,可是客户端依然不行?为什么?急。
- 提交表单的问题,异常简单!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
- 基于jsp+mysql的bbs论坛怎样打包成.exe文件
- JXL读取Excel文件,调用sheet.getRows()竟然返回多余的行数?!
2,一般是保存文件到磁盘
推荐保存到数据库。
保存为文件的话,风险反而会更大,再来,他会非常浪费磁盘资源,容易产生磁盘碎片,放到数据库可避免这类事情。