Как запретить html и js теги в textarea?

Question

[Иван Жук]

Как запретить в textarea html js код?

Comments

[dethain]

всмысле запретить?

[Froggyweb]

вырезать на бэке проще

[Владимир Коротенко]

Но реально легче вырезать на бэке, ну или фильтровать валидный код

Answer 1

[Арсений Матыцин]

Это обычно делают на уровне бэкенда, в движки и фреймворки это просто зашито на уровне безопасности. Но вот копнуть можно тут.

А если надо вставлять текст на уровне JS, то достаточно будет вставлять его, как textNode, с помощью innerText, вместо innerHTML. Вот это надо проверить, так как я таким крайне редко страдаю.

Answer 2

[Владимир Коротенко]

Что то типа этого

<textarea id='clear'>

</textarea>
<pre id='cleaner'>

</pre>

var clear = document.getElementById('clear');
var cleaner = document.getElementById('cleaner');

clear.oninput = function(){
cleaner.innerHTML = clear.value; 
clear.value = cleaner.innerText;

https://jsfiddle.net/vkorotenko/zqf0u8jL/

Answer 3

[inFureal]

Есть функция которая решает все твои проблемы
htmlspecialchars()

$escapedTextarea = htmlspecialchars($_GET['description']);

Answer 4

[MethaTrader]

Безопасней всего htmlpurifier
htmlpurifier.org
Сравнить сам сможешь: htmlpurifier.org/comparison