Клуб API Карт

безопасность BaloonContent

project-xf
29 июня 2012, 06:27

столкнулась в процессе тестов с такой забавной ситуацией - есть у меня textarea, содержимое которое передается метке в качестве BaloonContent. Так вот в это самое содержимое балуна парсятся все html теги - от форматирования текста до задания input-контролов. Даже вставила простенький java-script - сработал как миленький. Открываешь балун, а он тебе время до нового года считает

С одной стороны это наверняка полезно, с другой стороны, у меня пользователям будет дана возможность собственноручно вписывать содержимое балуна и не хотелось бы получить какой-нибудь неприятный сюрприз.

В связи с этим вопрос - какие способы можно применить для фильтрации текста и исключения из него нежелательных элементов? (скажем, разрешить только теги форматирования текста и все)

2 комментария
Подписаться на комментарии к посту
Запретить все тэги вообще.

Форматирование текста можно делать BB-кодами, которые на сервере будут преобразовываться в HTML-теги. А вырезать пользовательские