HTML表单处理富文本输入流程详解

富文本表单处理远不止“存HTML再渲染”那么简单，它是一场贯穿前端净化、表单同步、UTF-8全链路编码、粘贴内容过滤与后端二次消毒的系统性安全攻防——前端用DOMPurify预筛、手动同步编辑器到textarea防提交丢失；后端必须强制二次净化（无论CKEditor还是TinyMCE都不替你兜底），严防XSS后门；数据库字段得用utf8mb4存emoji，请求头和表单属性须显式声明UTF-8，粘贴更要拦截Word/公众号等“污染源”并净化后再插入。任何一个环节松懈，都可能让看似无害的富文本变成悄然执行脚本的安全黑洞。

富文本内容提交前必须转义 HTML 实体

浏览器会把