FineUI 官方论坛

标题: UEditor跨域安全问题 [打印本页]

作者: Neal.六道    时间: 2014-1-23 11:43
标题: UEditor跨域安全问题
“/”应用程序中的服务器错误。
从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。
说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输入适用于您的应用程序,则可包括明确允许的网页中的代码。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=212874

异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。

源错误:





=============================




请问三石大大,如何来禁用Uedit的脚本及不安全因素,可不可以关掉UEdit的HTML编写等功能

作者: Neal.六道    时间: 2014-1-23 15:17
1.在网站总配置页面Web.config中<system.web></system.web>标签内加入<httpRuntime requestValidationMode="2.0" />
eg:
<httpRuntime requestValidationMode="2.0" />
</system.web>
2.在提交页面的page对象中加入validateRequest="false"属性
例如:
<%@ Page validateRequest="false"Language="C#" AutoEventWireup="true" CodeFile="XXX.aspx.cs" Inherits="Admin_Default" %>

测试将木马改名成jpg,上传,通过HTML编写 JS去改名执行,服务器成功变肉鸡,我勒个去。赶快换控件
作者: sanshi    时间: 2014-1-23 15:36
Neal.六道 发表于 2014-1-23 15:17
1.在网站总配置页面Web.config中标签内加入
eg:

这个不是UEditor的错,只要在HTTP请求中包含 HTML标签,都会报错“从客户端中检测到有潜在危险的 Request.Form 值”。

可以通过在服务器端处理客户端提交的值来避免遭受攻击,或者设置服务器端文件夹的执行权限
作者: Neal.六道    时间: 2014-1-23 16:30
sanshi 发表于 2014-1-23 15:36
这个不是UEditor的错,只要在HTTP请求中包含 HTML标签,都会报错“从客户端中检测到有潜在危险的 Request ...

嗯,感谢大大指导,我刚刚看了一下UEditor这个东东资料,它的菜单,上传都可以定制的,所以可以根据自己的需求,去调整平衡,我收回刚刚很不安全的判断!


<script type="text/javascript">
var editor = new baidu.editor.ui.Editor({
  toolbars:[['bold', 'italic','underline','|','forecolor','|','insertunorderedlist','insertorderedlist']],
       elementPathEnabled:false,
       minFrameHeight:170,
       pasteFilter : true,
       clearFontSize : true,
       clearFontFamily : true,
       removeClass : true,
       pasteplain : true,
      serialize:{ blackList:{style:1, link:1,object:1, applet:1, input:1,meta:1, base:1, button:1, select:1,, 'map':1, 'area':1,"img":1,"script":1} }
  });
  editor.render("editor");//参数为容器标签的id  
</script>




欢迎光临 FineUI 官方论坛 (https://fineui.com/BBS/) Powered by Discuz! X3.4