请先下载:
http://www.cnblogs.com/Files/yangcai/freetextbox.rar
或
http://dl2.csdn.net/down4/20070721/21151544207.rar (同上的文件)
把下载下来的源码放在你的工程里面
1.打开ASP.Net2.0项目,添加引用。(如果添加过以前版本的FreeTextBox,先删除以前版本的引用)
2.将FreeTextBox添加到工具栏。(工具栏〉常规〉选择项〉浏览到DLL文件,添加)
3.可以将工具栏上的控件拖入到你需要的页面
4.要得到编辑器的代码是用控件的text属性即可以得到
__________________________________________________________________
1。下载最新版FreeTextBox(版本3.1.6),解压
FreeTextBox 3.1.6 (2006/07/18)
博客园本地下载: http://www.cnblogs.com/Files/cleo/FTBv3-1-6.zip
作者网站下载地址:http://freetextbox.com/download/
详细版本有哪些改进和修改历史可以看这里:http://freetextbox.com/download/changelog.aspx
* BUG: Firefox postback problems (due to IE specific code)
* CHANGE: createlink now requires text to be selected
* BUG: FontSizesMenuList now functions correctly
* BUG: IE users would see the tag path of the entire document
* BUG: WordClean fix for < b > tags
* BUG: bug in FF vs. IE DOM handling of extra /n tag
Free版本的收费版本的区别可以看这里:http://freetextbox.com/features/
2。打开ASP.Net2.0项目,添加引用。(如果添加过以前版本的FreeTextBox,先删除以前版本的引用)
2.1。拷贝ftb.imagegallery.aspx到你要使用FreeTextBox的目录(当然可以是其他,但是可能要设置路径)
3。将FreeTextBox添加到工具栏。(工具栏〉常规〉选择项〉浏览到DLL文件,添加)
4。可以将工具栏上的控件拖入到你的页面了
runat ="server" Text ='<%# Bind("Contents") % > '
ButtonDownImage="True"
ToolbarLayout="ParagraphMenu,FontFacesMenu,FontSizesMenu,FontForeColorsMenu|Bold,Italic,Underline,Strikethrough;Superscript,Subscript,RemoveFormat|JustifyLeft,JustifyRight,JustifyCenter,JustifyFull;BulletedList,NumberedList,Indent,Outdent;CreateLink,Unlink,InsertImage,InsertImageFromGallery,InsertRule|Cut,Copy,Paste;Undo,Redo,Print">
</ FTB:FreeTextBox >
4.1。修改ImageGalleryPath属性为你图片的放置目录。
5。Q&A
5.1。Q:怎么不能新建目录,上传文件等?
A:修改ftb.imagegallery.aspx页面可以做到
SupportFolder ="~/aspnet_client/FreeTextBox/"
AllowImageDelete ="true" AllowImageUpload ="true"
AllowDirectoryCreate ="true" AllowDirectoryDelete ="true" runat ="Server" />
修改AllowImageDelete等属性
5.2。Q:怎么没有看到“从图片库插入图片”这个图标?
A:修改<FTB:FreeTextBox />的ToolbarLayout属性,添加一个InsertImageFromGallery,上面代码的例子就是已经添加好的。
5.3。Q:按钮怎么是英文提示?
A:<FTB:FreeTextBox />有个属性叫做Language,把默认的en-US改称zh-CN吧,就是中文简体了,听说这个版本带了25种语言呢。
——————————————————————————————————————————
(今天试了一下。什么文件都可以上传哦!,怎么会这样的呢?)
该漏洞来自FreeTextBox中的图片库,在图片库中用户可以任意地上传任何文件,比如:aspx文件。我想你会马上意识到这个Bug的严重性,攻击者可以上传任何在服务端执行的破坏性的代码。
该漏洞是FreeTextBox的ImageGallery控件中一处Bug引起的,ImageGallery控件中竟然没有对上传文件的类型进行检查,用Reflector工具查看FreeTextBox的源代码你就会发现,在ImageGallery的RaisePostBackEvent方法中, 直接保存上传的文件,并没有对上传文件类型进行检查,而ImageGallery中竟然有个形同虚设的AcceptedFileTypes属性,一开始我还以为是没有设置这个属性的原因,可一看代码,AcceptedFileTypes有默认设置,如果在RaisePostBackEvent中通过这个属性检查上传文件的类型,这个漏洞就可以避免。
我在FreeTextBox 3.0及最新的FreeTextBox 3.1.1都发现存在这个Bug。
如果你有FreeTextBox的源代码,可以通过修改RaisePostBackEvent方法轻而易举地修复这个Bug。
如果你是.Text或者CNBlogs DotText的用户, 可以在web.config中<HttpHandlers>的第一行加上下面的代码避免有人通过这个漏洞上传代码进行攻击:
<
HttpHandler
pattern
="/images/"
type
="Dottext.Common.UrlManager.BlogStaticFileHandler, Dottext.Common"
handlerType
="Direct"
/>
<
HttpHandler
pattern
="/files/"
type
="Dottext.Common.UrlManager.BlogStaticFileHandler, Dottext.Common"
handlerType
="Direct"
/>
如果你没有FreeTextBox的源代码,可以采用我想到的一个补救措施,写一个继承自ImageGallery的控件,重载RaisePostBackEvent方法,对上传文件类型进行检查,参考代码如下:
public
class
FTBImageGallery : ImageGallery
{
public FTBImageGallery()
{
} public override void RaisePostBackEvent(string eventArgument) { char[] chArray1 = new char[] { ':' } ; string[] textArray1 = eventArgument.Split(chArray1); if(textArray1[0] != null&&textArray1[0]=="UploadImage") { this.EnsureChildControls(); if(this.inputFile.PostedFile!=null&&this.inputFile.PostedFile.FileName!=null&&!(IsAcceptedFileTypes(this.inputFile.PostedFile.FileName))) { this.returnMessage = "不允许上传该类型的文件"; return; } } base.RaisePostBackEvent (eventArgument); } private bool IsAcceptedFileTypes(string fileName) { for(int i=0;i<this.AcceptedFileTypes.Length;i++) { if(fileName.ToLower().EndsWith("."+this.AcceptedFileTypes[i])) { return true; } } return false; }
}
然后在ftb.imagegallery.aspx中将原来使用的<FTB:ImageGallery/>改为新的控件。
123
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
