KindEditor 4.1.1 发布 开启白名单过滤

作者:azha hihi 来源:ChinaZ源码报导 浏览: 2012-6-11 10:36:01 字号:
[摘要]KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,4.1.1版本开始默认开启白名单过滤,只能使用htmlTags里定义的HTML标签和属性,其它标签和属性会被编辑器过滤。

  KindEditor是在国内比较受欢迎的HTML在线编辑器。KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。 KindEditor 使用 JavaScript 编写,可以无缝地与 Java、.NET、PHP、ASP 等程序集成,比较适合在 CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用。

  KindEditor有体积小加载速度快,源代码开放、内置自定义 DOM 类库,功能插件化、根据需求增减功能,风格修改容易,兼容性高等特点。

  根据国家信息安全漏洞共享平台(即中国国家漏洞库,CNVD)要求,4.1.1版本开始默认开启白名单过滤,只能使用htmlTags里定义的HTML标签和属性,其它标签和属性会被编辑器过滤。如果要允许输入任何HTML代码,可以将filterMode参数设置成false。注意,这个过滤在浏览器端进行,攻击者仍然可以绕过编辑器直接提交XSS、CSRF等攻击代码,所以一定要在服务器端加入过滤逻辑,可参考HTML purifier、Jsoup等类库。

  此外,KindEditor压缩包包含PHP、ASP、.NET、JSP等演示代码,因为包含上传和遍历目录功能,这些代码使用不当很可能引起安全问题,建议对它进行改造。如果您对这些代码不了解,请不要上传到服务器上。

  改造方案:

  1. 加入用户权限验证。

  2. 严格验证上传文件格式,除扩展名验证外,应该加入文件内容检查逻辑。

  3. 文件信息保存在数据库里,以查询数据库的方式浏览文件,直接遍历文件夹存在安全隐患。

  KindEditor 4.1.1 变更记录:

  新增: extraFileUploadParams初始化参数,文件上传时,支持添加别的参数一并传到服务器。

  变更: filterMode默认值改成true,根据htmlTags配置过滤HTML代码。

  Bugfix: [Chrome] 粘贴内容代码中出现white-space:nowrap导致不换行。

  Bugfix: [IE6] 本地图片上传按钮错位。

  Bugfix: 开启过滤模式后,预览内容显示KindEditor。 

  推荐阅读介绍五款国内主流的在线HTML编辑器

  • 软件大小:1.12MB
  • 软件类别:国产软件 | html编辑器
  • 软件语言:简体中文
  • 运行环境:JavaScript
  • 软件授权:免费版
  • 更新时间:2013-4-22 10:45:46
  • 相关链接:Home Page

sssss
Tags: KindEditor   编辑器   HTML编辑器  
责任编辑:azha
编辑推荐排行