HTML编辑器 KindEditor 4.1.1 发布

openkk 7年前
   <p>根据<a href="/misc/goto?guid=4958343808206346714" target="_blank">国家信息安全漏洞共享平台(即中国国家漏洞库,CNVD)</a>要求,4.1.1版本开始默认开启白名单过滤,只能使用htmlTags里定义的HTML标签和属性,其它标签和属性会被编辑器过滤。如果要允许输入任何 HTML代码,可以将filterMode参数设置成false。注意,这个过滤在浏览器端进行,攻击者仍然可以绕过编辑器直接提交XSS、CSRF等攻击代码,所以一定要在服务器端加入过滤逻辑,可参考HTML purifier、Jsoup等类库。</p>    <p>此外,KindEditor压缩包包含PHP、ASP、.NET、JSP等演示代码,因为包含上传和遍历目录功能,这些代码使用不当很可能引起安全问题,建议对它进行改造。如果您对这些代码不了解,请不要上传到服务器上。</p>    <p>改造方案:</p>    <p>1. 加入用户权限验证。<br /> 2. 严格验证上传文件格式,除扩展名验证外,应该加入文件内容检查逻辑。<br /> 3. 文件信息保存在数据库里,以查询数据库的方式浏览文件,直接遍历文件夹存在安全隐患。</p>    <p><span style="line-height:24px;font-size:16px;font-weight:bold;">KindEditor 4.1.1 变更记录:</span></p>    <ol>     <li>新增: extraFileUploadParams初始化参数,文件上传时,支持添加别的参数一并传到服务器。 </li>     <li>变更: filterMode默认值改成true,根据htmlTags配置过滤HTML代码。 </li>     <li>Bugfix: [Chrome] 粘贴内容代码中出现white-space:nowrap导致不换行。 </li>     <li>Bugfix: [IE6] 本地图片上传按钮错位。 </li>     <li>Bugfix: 开启过滤模式后,预览内容显示KindEditor。 </li>    </ol>    <p>演示:<a href="/misc/goto?guid=4958184679421350316" target="_blank">http://www.kindsoft.net/demo.php</a><br /> 下载:<a href="/misc/goto?guid=4958191727368747862" target="_blank">http://www.kindsoft.net/down.php</a><br /> 文档:<a href="/misc/goto?guid=4958191728118833774" target="_blank">http://www.kindsoft.net/doc.php<span> </span></a><span> <br /> </span></p>