HTML限制
MediaWiki默认限制使用HTML。
只允许部分HTML元素和属性。
通过配置参数$wgRawHtml
可以使用包含于html标签内的纯HTML小节。
代码在includes/parser/Sanitizer.php。
维基媒体网站(参见完全列表)不允许完整的URL使用。 允许完全使用HTML的请求于2005年被拒绝。
还有一些扩展可以允许嵌入纯HTML。 这些扩展看来比较安全:
- Extension:HTMLets (unmaintained) – 允许
$wgRawHtml = false;
中预定义的HTML片段 - Extension:HTML Tags (stable) – 允许从wiki设置中定义的标签和属性中添加一系列HTML
- Extension:Secure HTML (unmaintained) – 为html部分添加“密钥”保护
- Extension:SaferHTMLTag (beta) – prevents edition of pages that contain the
<html>
tag by unauthorized users and groups - Extension:HTMLPurifier (beta) – allows users to input raw HTML by using HTML Purifier to sanitize it
- Extension:NamespaceHTML (unmaintained, has known security vulnerability) – 允许指定命名空间中使用原始HTML
- Extension:微件 (stable) – 允许使用可选参数定义基于HTML和JavaScript的“小部件”