HTML编辑器,CKEditor 4.4.6 安全补丁版本发布

jopen 9年前

CKEditor是新一代的FCKeditor,是一个重新开发的版本。CKEditor是全球最优秀的网页在线文字编辑器之一,因其惊人的性能与可扩展性而广泛的被运用于各大网站。

CKEditor 4.4.6 发布了,该版本对底层的编辑器核心进行了一些显著的改进,包含内容选择和样式系统相关的问题,修复了各种 bug,同时包含一个 HTML 解析中的安全问题。所以强烈建议升级!

安全问题修复

CKEditor 4.4.6 修复了一个 HTML 解析器的 XSS 漏洞,该漏洞是由 Maco Cortes 报告的。漏洞导致可以在 CKEditor 源码区域执行 XSS,可通过如下步骤重现该漏洞:

1. 切换 CKEditor 到源码模式
2. 粘贴一段由攻击者提供的结构不完整的 HTML 代码到源码编辑区域
3. 切换回可视化编辑模式

尽管该场景不常见,但我们仍然建议你升级到最新的版本。

编辑器底层内核的提升

尽管这是一个小的发行版本,但是我们还是对 CKEditor 的内核做了一些显著的改进,例如 #12489, #12491#12630 改进了内容的选择; #12621, #12688#12403 对样式子系统做了提升,修复一些嵌套 <span> 标签中移除内建样式和空行的问题。

新特性

CKEditor 4.4.6 包含两个新特性:Allowed content rules 可用于 content filtering 定义,现在接受名称中带斜杠;此外 HTML5 的 <main> 元素添加到 CKEDITOR.dtd.

完整的改进记录请看 What's New?

下载

下载 CKEditor 或者 更新你的安装 ,也可以使用 package manager 来安装。

来自:http://www.oschina.net/p/ckeditor