基于安全考量,UEditor和thinkphp在对提交的数据进行储存的情况下会对html代码进行转义,比如P标签会转成<p>,在前端读取后笔者发现前端依旧输出了<p>222</p>,同时对文字进行了加色等方法前台还是显示了一段段的html代码,经过在网上搜索,找到了如下方法,特记录备用。
ThinkPHP的内容发布模块用上了百度的UEditor,但是在实现过程中发现Ueditor为安全起见对写入的HTML代码进行转义,在ThinkPHP视图层使用htmlspecialchars_decode后发现图片依然有问题,双引号被过滤,这个则是被ThinkPHP为安全起见给过滤掉了。
在官网找解决方案,看到有直接改内核代码的:
直接在ThinkPHP的conf文件夹目录下找到ThinkPHP的配置文件Convention.php这个文件,然后找到DEFAULT_FILTER选项,注释掉这个,禁用掉TP的自动转义功能,就OK了。
但是这种方法并不推荐。最后经过几次实验找到了解决办法,进行双重转义即可,代码:
{$article.content|htmlspecialchars_decode|stripslashes}
