ユーザーが自分のホストにシェル(エクスプロイト)をアップロードできないようにしたい。私はfckeditorを覚えていますが、ハッカーがサーバーにファイルをアップロードできるバグがいくつかありました。ckeditorにも同様の問題がありますか?
ユーザーのファイルをどのように信頼し、偽のファイルではないことを確認します。たとえば、ハッカーはpdfファイル内で編集できます->ファイルにはpdf拡張子とタイプがありますが、悪意のあるコードがあります。
XSS攻撃にはhtmlencode、htmldecodeを使用するだけで十分ですか?
1448 次
1 に答える
2
CKEditor にはファイルのアップロードが含まれていないため、その部分を追加する必要があります。
繰り返しますが、CKEditor にはその部分がありません。彼らはその役割を果たすためにCKFinderを販売しており、アップロードされたファイルが安全であることを確認するためのいくつかのチェックがありますが、ファイルをサーバーにアップロードすることを許可するユーザーについては十分に注意する必要があります.
いいえ。WYSIWYG エディターを使用している場合は、提供されたデータを html エンコードするつもりはなく、他の基本的なトリックも十分ではありません。HTMLPurifierのような完全なチェックが必要です
于 2012-06-19T12:41:26.743 に答える