FineUI 官方论坛

标题: UEditor跨域安全问题 [打印本页]

作者: Neal.六道 时间: 2014-1-23 11:43
标题: UEditor跨域安全问题
“/”应用程序中的服务器错误。
从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。说明: ASP.NET 在请求中检测到包含潜在危险的数据，因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试，如跨站点脚本攻击。如果此类型的输入适用于您的应用程序，则可包括明确允许的网页中的代码。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=212874。

异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。

源错误:

=============================

请问三石大大，如何来禁用Uedit的脚本及不安全因素，可不可以关掉UEdit的HTML编写等功能

作者: Neal.六道 时间: 2014-1-23 15:17
1.在网站总配置页面Web.config中<system.web></system.web>标签内加入<httpRuntime requestValidationMode="2.0" />
eg:
<httpRuntime requestValidationMode="2.0" />
</system.web>
2.在提交页面的page对象中加入validateRequest="false"属性
例如：
<%@ Page validateRequest="false"Language="C#" AutoEventWireup="true" CodeFile="XXX.aspx.cs" Inherits="Admin_Default" %>

测试将木马改名成jpg，上传，通过HTML编写 JS去改名执行，服务器成功变肉鸡，我勒个去。赶快换控件

作者: sanshi 时间: 2014-1-23 15:36

Neal.六道发表于 2014-1-23 15:17
1.在网站总配置页面Web.config中标签内加入
eg:

这个不是UEditor的错，只要在HTTP请求中包含 HTML标签，都会报错“从客户端中检测到有潜在危险的 Request.Form 值”。

可以通过在服务器端处理客户端提交的值来避免遭受攻击，或者设置服务器端文件夹的执行权限

作者: Neal.六道 时间: 2014-1-23 16:30

sanshi 发表于 2014-1-23 15:36
这个不是UEditor的错，只要在HTTP请求中包含 HTML标签，都会报错“从客户端中检测到有潜在危险的 Request ...

嗯，感谢大大指导，我刚刚看了一下UEditor这个东东资料，它的菜单，上传都可以定制的，所以可以根据自己的需求，去调整平衡，我收回刚刚很不安全的判断！

<script type="text/javascript">
var editor = new baidu.editor.ui.Editor({
  toolbars:[['bold', 'italic','underline','|','forecolor','|','insertunorderedlist','insertorderedlist']],
   elementPathEnabled:false,
   minFrameHeight:170,
   pasteFilter : true,
   clearFontSize : true,
   clearFontFamily : true,
   removeClass : true,
   pasteplain : true,
   serialize:{ blackList:{style:1, link:1,object:1, applet:1, input:1,meta:1, base:1, button:1, select:1,, 'map':1, 'area':1,"img":1,"script":1} }
  });
  editor.render("editor");//参数为容器标签的id
</script>

欢迎光临 FineUI 官方论坛 (https://fineui.com/BBS/)