Vorteile eines WYSIWYG-Editors:
- Text wird wie in der Editoransicht ausgegeben;
- Sehr großeres Formatierungs- und Auszeichnungsraum;
- Leichte Bedienbarkeit (fast jeder kann ja mit Word umgehen);
Nachteile eines solchen Editors:
- Verwendung von Javascript;
- Meist nur Vollunterstützung von FF und IE;
- Dinge wie Codeansicht oder Zitat nicht vorhanden, müssten selbst geschrieben werden;
-
Verwendung von reinem HTML
Durch das Verwenden von HTML entsteht eine nicht zu verachtende Sicherheitslücke, denn ohne Filterung könnte nun jeder mit XSS einen Angriff durchführen.
Deshalb habe ich im Moment einen HTML-Filter eingesetzt der problematische Tags, sowie XSS-Angriffsziele herausfiltert.
Aber leider ist immer noch ein schwerwiegendes Problem vorhanden und zwar die korrekte HTML-Syntax Erkennung.
Ein kleines Beispiel dazu:
<div style="......">test123</div><script language="javascript".......></div>
</div><table><tr><td>test</td></tr></table>
Daraus würde nach dem Filtern
<div style="......">test123</div></div></div>test
Aber wie ihr sicherlich erkennen könnt, sind nun immer noch ein paar </div>-Tags zuviel im String. Diese Strings könnten nun dazu benutzt werden euer Design in dem jeweiligen Post zerreisen zu lassen.
Und genau hier arbeite ich gerade an einer Parserlösung, allerdings ist ein solches Unterfangen sehr komplex und aufwändig und der DOM-Baum ist auch für mich Neuland.
So, jetzt wisst zumindest mal was Sache ist.
mfg
scorp