HTML限制
MediaWiki默认限制使用HTML。
只允许部分HTML元素和属性。
通过配置参数$wgRawHtml
可以使用包含于html标签内的纯HTML小节。
代码在includes/parser/Sanitizer.php。
维基媒体网站(参见完全列表)不允许完整的URL使用。 允许完全使用HTML的请求于2005年被拒绝。
还有一些扩展可以允许嵌入纯HTML。 这些扩展看来比较安全:
Extension | Status | Description |
---|---|---|
Extension:HTMLets | unmaintained | 允许$wgRawHtml = false; 中预定义的HTML片段
|
Extension:HTML Tags | stable | 允许从wiki设置中定义的标签和属性中添加一系列HTML |
Extension:Secure HTML | unmaintained | 为html部分添加“密钥”保护 |
Extension:SaferHTMLTag | stable, has known security vulnerability | 防止未经授权的用户和组编辑包含<html> 标签的页面
|
Extension:HTMLPurifier | beta | 允许用户使用HTML Purifier对其进行净化来输入原始HTML |
Extension:微件 | stable | 允许使用可选参数定义基于HTML和JavaScript的“小部件” |
Extension:HTMLTemplates | experimental | Creates a new HTMLTemplate namespace like normal templates except written in html. Parameters are automatically escaped in a context sensitive manner |