UEditor跨域安全问题

Neal.六道

“/”应用程序中的服务器错误。

---

从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。说明: ASP.NET 在请求中检测到包含潜在危险的数据，因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试，如跨站点脚本攻击。如果此类型的输入适用于您的应用程序，则可包括明确允许的网页中的代码。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=212874。

异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。

源错误:




=============================




请问三石大大，如何来禁用Uedit的脚本及不安全因素，可不可以关掉UEdit的HTML编写等功能

Neal.六道

1.在网站总配置页面Web.config中<system.web></system.web>标签内加入<httpRuntime requestValidationMode="2.0" />
eg:
<httpRuntime requestValidationMode="2.0" />
</system.web>
2.在提交页面的page对象中加入validateRequest="false"属性
例如：
<%@ Page validateRequest="false"Language="C#" AutoEventWireup="true" CodeFile="XXX.aspx.cs" Inherits="Admin_Default" %>

测试将木马改名成jpg，上传，通过HTML编写 JS去改名执行，服务器成功变肉鸡，我勒个去。赶快换控件

sanshi

Neal.六道 发表于 2014-1-23 15:17
1.在网站总配置页面Web.config中标签内加入
eg:

这个不是UEditor的错，只要在HTTP请求中包含 HTML标签，都会报错“从客户端中检测到有潜在危险的 Request.Form 值”。

可以通过在服务器端处理客户端提交的值来避免遭受攻击，或者设置服务器端文件夹的执行权限

Neal.六道

sanshi 发表于 2014-1-23 15:36
这个不是UEditor的错，只要在HTTP请求中包含 HTML标签，都会报错“从客户端中检测到有潜在危险的 Request ...

嗯，感谢大大指导，我刚刚看了一下UEditor这个东东资料，它的菜单，上传都可以定制的，所以可以根据自己的需求，去调整平衡，我收回刚刚很不安全的判断！


<script type="text/javascript">
var editor = new baidu.editor.ui.Editor({
  toolbars:[['bold', 'italic','underline','|','forecolor','|','insertunorderedlist','insertorderedlist']],
       elementPathEnabled:false,
       minFrameHeight:170,
       pasteFilter : true,
       clearFontSize : true,
       clearFontFamily : true,
       removeClass : true,
       pasteplain : true,
      serialize:{ blackList:{style:1, link:1,object:1, applet:1, input:1,meta:1, base:1, button:1, select:1,, 'map':1, 'area':1,"img":1,"script":1} }
  });
  editor.render("editor");//参数为容器标签的id  
</script>