这里可以写JS注入啊
<script>alert('js注入')</scirpt>
为什么这地方可以呢。我测试的怎么没给过滤掉呢
这里有过滤处理,后端和前端都有过滤,前端可以设置filterMode过滤,后端PHP可以用这个。
http://htmlpurifier.org/
