Drupal格式过滤安全设置与FCKEditor配置

最新推荐文章于 2024-04-30 22:06:17 发布
最新推荐文章于 2024-04-30 22:06:17 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: Drupal 文章标签: fckeditor html attributes input php div
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/borishuai/article/details/4763041
版权

 输入格式(Input format)在Drupal 中指的是:在创建站点内容时,对所输入的内容进行过滤所依照的方法,Drupal默认有三种输入格式:

1. Filtered HTML, 这个选项会将用户输入的包含HTML 编码的文字进行过滤, 根据用户的配置,可以将没有在允许列表中的HTML标签进行过滤或转换

2. Full HTML, 这个选项就是不过滤任何用户输入的HTML 标签,原样呈现,但是如果用户输入有害的代码也会被执行,例如: <div style="border:1px solid black;height:100px">大家好</div>, <script>alert('hello')</script>等,通常只有管理员才允许使用该选项。

3. PHP code(需要PHP filter模块的支持 ),这个选项允许用户输入并执行PHP code,如果输入有害的代码,后果不可想象,应该只有管理员才可以使用该选项。

 

因此, 如果 输入格式(Input format)配置不当,将给整个网站带来很大的安全隐患,同时还要使用户能够方便的输入各种格式的内容,下面是一种常见的配置方法:

1. 将 Filtered HTML输入格式设为默认的输入格式,设置方法为在Site configuration -> Input formats中进行设置。

2. 在 Filtered HTML输入格式的配置页面里,将Allowed HTML tags的值设为

           <a> <p> <span> <div> <h1> <h2> <h3> <h4> <h5> <h6> <img> <map> <area> 

           <hr> <br> <br /> <ul> <ol> <li> <dl> <dt> <dd> <table> <tr> <td> <em> 

           <b> <u> <i> <strong> <font> <del> <ins> <sub> <sup> <quote> <blockquote>

           <pre> <address> <code> <cite> <embed> <object> <strike> <caption> 

这些HTML 标签都是用户常用的并且被证明是无害的标签,当然你可以根据实际需要增加或去除一部分标签。



3. 通常情况下用户在输入内容时可以通过点击输入框下面的Input Formatting来选择输入格式,因此还要在权限设置里将普通用户的选择输入权限

的功能关闭,具体方法为:在User management->Permissions里,找到administer filters,将普通用户组的勾去掉并保存。







通过以上的配置后在没有FCKEditor的情况下已经可以完美的工作了,但是如果Drupal使用了FCKEditor,因为正常情况下Filtered HTML输入格式不仅过滤普通的HTML标签(不在Allowed HTML tgas列表中),而且会过滤内联的样式设定,例如<h2 style="color: red;">hello</h2>,因此你也将无法使用FCKEditor中的字体设置,颜色设置等功能
通过以下几种方法,可以在开启Filtered HTML情况下继续使用FCKEditor里的各种样式:


1. 让可信任的用户使用Full HTML输入格式,而其它用户使用Filtered HTML输入格式,具体方法就是给可信任的用户组分配

administer filters的权限,这样可信任用户就可以在输入内容时选择不同的输入格式,而其它用户则不可以选择输入格式。



2. 将内联的样式改成老的HTML样式,例如<font color="red"></font>,只要把<font>加到Filtered HTML允许列表中就不会被过滤掉了,将以下的配置内容加到fckeditor.config.js的最下面:




FCKConfig.CoreStyles['FontFace'] = 

{ 

	Element		: 'font', 

	Attributes : { 'face' : '#("Font")' }

};

FCKConfig.CoreStyles['Size'] = 

{ 

	Element		: 'font', 

	Attributes : { 'size' : '#("Size","fontSize")' }

};

FCKConfig.CoreStyles['Color'] = 

{ 

	Element		: 'font', 

	Attributes : { 'color' : '#("Color","color")' }

};

FCKConfig.FontSizes	= '1/xx-small;2/x-small;3/small;4/medium;5/large;6/x-large;7/xx-large' ;

3. 使用CSS预定义样式取代'FontFormat','FontName','FontSize','TextColor' , 例如在Style下拉列表中添加一个“红色”按钮,然后在fckstyles.xml中定义如下代码<Style name="Red" element="div" />

<Attribute name="class" value="red" />, 然后在css文件中定义.red {color: red}就可以了 















   
   
    
    
    
参考文章
    
1. http://drupal.fckeditor.net/filters

    
2. http://drupaluser.cn/html/xdrupal/2009-01-08/476.html

    BorisHuai
    关注
    • 0
      点赞
    • 2
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    专栏目录
    FCKEditor过滤标签的解决办法
    02-24
    FCKConfig.FullPage=true/false 是否允许编辑整个HTML文件 FCKConfig.EnterMode = '' ; 去除fckeditor输入时自动加p标签属性值 如果你需要编辑模板页,默认的FCK设置是会去掉<HTML></HTML><BODY></BODY>标签,而且会给你加上<P></P>标签的,怎么办呢,只要设置一个小的地方就可以了。 在fckconfig.js配置文件里面有FCKConfig.FullPage = false ; 改为 FCKConfig.FullPage = true 如果想去掉自动添加<P>的代码就可以在这里设置 默认是 FCKConfig.EnterMode = 'p' ; // p | div | br FCKConfig.ShiftEnterMode = 'br' ; // p | div | br 改成 FCKConfig.EnterMode = '' ; // p | div | br FCKConfig.ShiftEnterMode = 'br' ; // p | div | br
    WordPress与Drupal的Nginx配置rewrite重写规则示例
    09-30
    主要介绍了WordPress与Drupal的Nginx配置重写规则示例,文中介绍的rewrite写法简单而突出配置重点,需要的朋友可以参考下
    Enable Clean URLs in Drupal
    学习记录
    04-07 1010
    Drupal中,如果要在Page中用PHP来传递参数到当前Script的超链接中,需要Enable Clean URLs。     我的情况是修改了httpd.conf以下地方,才能enable clean urls。 1. Comment AllowOverride None(Line 293) # First, we configure the "default" t
    FCKEditor过滤html标签的解决办法
    哈奇漫漫路
    05-20 253
    本文来自:http://laiba.tianya.cn/laiba/CommMsgs?cmm=11617&amp;tid=2686857630450559236      晚上在修改后台管理程序关于模板在线修改的部分,模板代码是用数据库存储的,编辑器使用的简化版本的fckeditor,遇到了html标签里的head和body标签被编辑器自动过滤的奇怪现象,俗话说知之为知之,不知百度之,在百度里搜索...
    drupal8 Adding stylesheets(css)and JavsScript(js)
    weixin_34311757的博客
    12-09 446
    参考地址:https://www.drupal.org/docs/8/theming-drupal-8/adding-stylesheets-css-and-javascript-js-to-a-drupal-8-themeIn Drupal8,stylesheets(css)and javasctipt(js)are loaded through the same system for modu...
    解决FCKeditor在线文本编辑器自动过滤HTML标签的方法
    shao.bing的专栏
    12-09 2317
    最近在用FCKeditor在线文本编辑器的时候发现一个问题,就是在编辑的时候只要遇到HTML标签里的head、body等标签时都会被自动过滤掉,而我是希望这些标签不要被过滤掉的,后来经过对FCKeditor配置文件fckconfig.js的研究,问题终于得到解决,拿来做个备忘。     找到FCKeditor在线文件编辑器配置文件fckconfig.js,打开该文件,并找到如下代码:
    FCKEditor自动过滤的解决办法
    子夜轻风
    07-28 118
    如果您需要编辑模板页,默认的FCK设置是会去掉标签,而且会给你加上  &lt;P&gt;&lt;/P&gt; 标签的,怎么办呢,只要设置一个小的地方就可以了。在fckconfig里面有  FCKConfig.FullPage = false ;  改为  FCKConfig.FullPage = true 如果想去掉自动添加的代码就可以在这里设置默认是 FCKConfig.Ent...
    mac 下 drupal .htaccess配置文件
    11-02
    mac电脑在xampp环境下搭建drupal使用的.htaccess配置文件,下载后将文件名改为.htaccess放在网站根目录即可。 如果网站不在根目录则放在对应级别的目录下 并修改htaccess文件119行和123行,将119行RewriteBase /...
    drupal6邮箱配置和简洁连接设置
    09-17
    drupal6邮箱配置和简洁链接设置
    drupal常用到的几种过滤函数小结
    09-28
    主要为大家介绍了drupal常用到的几种过滤函数,总结了常见过滤函数的具体用法,非常实用,具有一定的参考借鉴价值,需要的朋友可以参考下
    Drupal权限控制
    BorisHuai前端修炼
    11-04 2665
          Drupal的权限控制是基于角色(role)进行管理的,即系统是把权限分配给角色而不是用户的,例如用户A要想拥有写博客权限,这时首先要创建一个角色,例如Blog member, 然后给角色Blog member分配写博客的权限,之后再将角色Blog member分配给用户A,或者也可以说用户A拥有角色Blog member。总之,在Drupal中,一个用户可以拥有多个角
    Drupal的开发方式
    BorisHuai前端修炼
    11-04 1001
       Drupal是一个强大的、灵活的CMS开发平台,它有自己独特的开发方式,按照它的方式进行开发,则事半功倍。相反,如果只是把它当成普通的PHP项目,一上来就对它进行修改代码,或直接通过编码来添加功能,那就将是一场灾难,下面是我在做Drupal项目的过程中积累的一些好的开发方式,希望大家少走一些弯路。 1. 不要直接修改Drupal的核心代码以及第三方模块的代码,否则等到需要升级时就不知
    HTML:认识HTML及基本语法
    2301_79263365的博客
    04-30 570
    标记语言中,就提供了许多的标签,不同标签有不同的功能,最终运行时,由浏览器对标签进行解析,最终呈现出不同标签的样子。
    html如何实现按钮跳转,以及访问随机跳转
    weixin_42759398的博客
    04-29 233
    html如何实现按钮跳转,以及访问随机跳转。需求看似很冷门,实际上这个对应我上一篇文章。
    vue页面中怎么显示多个空格-从普通空格到非断行空格与v-html的使用
    qq_42816270的博客
    04-27 482
    v-html 的内容直接作为普通 HTML 插入—— Vue 模板语法是不会被解析的。在单文件组件,scoped 样式将不会作用于 v-html 里的内容,因为 HTML 内容不会被 Vue 的模板编译器解析。在你的站点上动态渲染任意的 HTML 是非常危险的,因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值,绝不要将用户提供的内容作为插值。产生的原因是因为在浏览器进行解析的时候, 会将多个空格合并成分成一个空格。可能跟使用vue2有关吧,上述的演示的代码使用的是vue3。
    常见的 HTML 标准
    最新发布
    csdn_ad986ad的博客
    04-30 340
    HTML(Hypertext Markup Language)有多个版本和标准。
    前端科举八股文-HTML
    星海拾遗
    04-23 1425
    http 是超文本传输协议,它是一个浏览器和服务器之间必须遵守的一个标准. 它是一个无状态的应用层协议所谓的无状态就是协议对于事物处理没有缓存, 在一次请求和返回数据的过程中不会缓存任何信息. 也就是说对于第二次请求获取同样的数据也需要重新发起请求,重新获取数据.由于js是单线程的特性,在执行一些高开销或者搞延迟的任务时容易造成页面渲染阻塞,webworker是一种独立于主线程的之外的独立运行js线程。可以单独去执行一些高开销的任务然后将结果传回主线程。
    Web前端一套全部清晰 ③ day2 HTML 标签综合案例
    m0_73983707的博客
    04-26 471
    分析内容 ——> 写代码 ——>保存——>刷新浏览器,看效果。从上到下,先整体到局部,逐步分析制作。
    drupal配置cors
    08-25
    Drupal配置CORS(跨来源资源共享)是为了允许不同源的请求访问Drupal的API。有几种方法可以配置CORS。 一种方法是使用yml文件导入字段,但是这种方法有一些局限性,因为无法覆盖现有的配置,也无法在特定的路径...

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值