FineUI 官方论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

本论坛已关闭(禁止注册、发帖和回复)
请移步 三石和他的朋友们

FineUI首页 WebForms - MVC & Core - JavaScript 常见问题 - QQ群 - 十周年征文活动

FineUI(开源版) 下载源代码 - 下载空项目 - 获取ExtJS - 文档 在线示例 - 版本更新 - 捐赠作者 - 教程

升级到 ASP.NET Core 3.1,快、快、快! 全新ASP.NET Core,比WebForms还简单! 欢迎加入【三石和他的朋友们】(基础版下载)

搜索
查看: 4204|回复: 3
打印 上一主题 下一主题

UEditor跨域安全问题

[复制链接]
跳转到指定楼层
楼主
发表于 2014-1-23 11:43:08 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
“/”应用程序中的服务器错误。
从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。
说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输入适用于您的应用程序,则可包括明确允许的网页中的代码。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkID=212874

异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UEditor1="<p>通知公告</p>")中检测到有潜在危险的 Request.Form 值。

源错误:





=============================




请问三石大大,如何来禁用Uedit的脚本及不安全因素,可不可以关掉UEdit的HTML编写等功能
沙发
 楼主| 发表于 2014-1-23 15:17:03 | 只看该作者
1.在网站总配置页面Web.config中<system.web></system.web>标签内加入<httpRuntime requestValidationMode="2.0" />
eg:
<httpRuntime requestValidationMode="2.0" />
</system.web>
2.在提交页面的page对象中加入validateRequest="false"属性
例如:
<%@ Page validateRequest="false"Language="C#" AutoEventWireup="true" CodeFile="XXX.aspx.cs" Inherits="Admin_Default" %>

测试将木马改名成jpg,上传,通过HTML编写 JS去改名执行,服务器成功变肉鸡,我勒个去。赶快换控件
板凳
发表于 2014-1-23 15:36:02 | 只看该作者
Neal.六道 发表于 2014-1-23 15:17
1.在网站总配置页面Web.config中标签内加入
eg:

这个不是UEditor的错,只要在HTTP请求中包含 HTML标签,都会报错“从客户端中检测到有潜在危险的 Request.Form 值”。

可以通过在服务器端处理客户端提交的值来避免遭受攻击,或者设置服务器端文件夹的执行权限
地板
 楼主| 发表于 2014-1-23 16:30:27 | 只看该作者
sanshi 发表于 2014-1-23 15:36
这个不是UEditor的错,只要在HTTP请求中包含 HTML标签,都会报错“从客户端中检测到有潜在危险的 Request ...

嗯,感谢大大指导,我刚刚看了一下UEditor这个东东资料,它的菜单,上传都可以定制的,所以可以根据自己的需求,去调整平衡,我收回刚刚很不安全的判断!


<script type="text/javascript">
var editor = new baidu.editor.ui.Editor({
  toolbars:[['bold', 'italic','underline','|','forecolor','|','insertunorderedlist','insertorderedlist']],
       elementPathEnabled:false,
       minFrameHeight:170,
       pasteFilter : true,
       clearFontSize : true,
       clearFontFamily : true,
       removeClass : true,
       pasteplain : true,
      serialize:{ blackList:{style:1, link:1,object:1, applet:1, input:1,meta:1, base:1, button:1, select:1,, 'map':1, 'area':1,"img":1,"script":1} }
  });
  editor.render("editor");//参数为容器标签的id  
</script>
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|FineUI 官方论坛 ( 皖ICP备2021006167号-1 )

GMT+8, 2024-11-23 10:49 , Processed in 0.043352 second(s), 17 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表