关于论坛的HTML代码

永恒的时代之光

阿森纳VIP

87 主题	128 好友	1万积分

昵称: 零柒
帖子: 38391
精华: 6
积分: 14192
威望: 3358
ＲＰ: 26126
金钱: 4033 柯币
人气: 4030 ℃
注册时间: 2005-12-22

发消息

发表于 2018-5-16 21:32:52 |显示全部楼层

现在还不能给普通用户组开放吗？

点评

Nicolas-C dz的最新版本x3.4在gitee码云上开了repository，可以考虑把你的想法以issue的形式提出来，看看开发小组日后愿不愿意解决发表于 2018-8-6 14:56

事务所微信公众号上线，快来关注吧~

使用道具举报

Nicolas-C

论坛管理员

商务中心主管
资源部副主管
主论坛版主助理
新闻区版主助理
十五周年活动助理
十六周年活动主持人
事务所分流组成员
事务所新闻部成员
事务所资源补档组组长

878 主题	92 好友	1816 积分

昵称: nico先生
帖子: 26491
精华: 6
积分: 1816
威望: 1112
ＲＰ: 1097
金钱: 26207 柯币
人气: 9484 ℃
注册时间: 2013-7-22

发消息

发表于 2018-8-3 01:53:25 |显示全部楼层

这个问题好像一直没有人来回答，以下观点仅为个人看法
我个人还是倾向于支持论坛前台全面禁止使用+解析html代码，也就是目前的现状

开放html代码容易带来的安全隐患，最容易想到的就是使用<script>标签，然后借此写JavaScript脚本
而JavaScript脚本也可以作为给网站挂马的一种方式，被这样恶意使用就不好了
还有一点就是，开放html代码的同时能不能使用<? ?>，目前还不得而知
如果可以，在这组标签内写入的代码将会被解析为服务器脚本语言之一PHP，带来的潜在安全隐患会更大更严重

考虑到上述这些，再加上目前Discuz! 论坛系统的后台无法就html代码的使用进行分级限制（分级限制比如说，“全禁止” “仅开放编辑样式需要使用的标签” “全开放”）
最稳妥的做法仍然是前台全面禁用，任何用户组都不应该豁免

以上，希望有用