ASP CKEditor,后台不需要担心XSS攻击。

最新推荐文章于 2024-05-14 09:17:59 发布
最新推荐文章于 2024-05-14 09:17:59 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ASP.NET C# 文章标签: asp asp.net c# ckeditor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houyanhua1/article/details/78984568
版权
C# 同时被 2 个专栏收录
106 篇文章 2 订阅
订阅专栏
ASP.NET
89 篇文章 0 订阅
订阅专栏

后台不需要担心跨站脚本攻击(XSS攻击)。可以将微软提供的脚本验证功能关闭。CKEditorDemo.aspx页面中加入<%@   ValidateRequest="false" %> ,并且配置文件加入如下代码:

Web.config:

 <system.web>
    <httpRuntime  requestValidationMode="2.0"/>
 </system.web>

将CKEditor插件的文件复制到网站中。引入JS脚本文件: <script src="/ckeditor/ckeditor.js"></script>

CKEditorDemo.aspx:

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="CKEditorDemo.aspx.cs" Inherits="BookShop.Web.Test.CKEditorDemo"
  ValidateRequest="false" %>   <!--将ValidateRequest的值设为false-->

<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
    <script src="/ckeditor/ckeditor.js"></script>   <!--引入CKEditor的JS文件-->
    <script type="text/javascript">
        //用CKEditor替换<textarea id="editorID">中的内容。
		var editor = CKEDITOR.replace('editorID');
	</script>
</head>
<body>
    <form id="form1" runat="server">
    <div>
    <textarea cols="100" id="editorID" name="editorName" rows="10"></textarea>
	
    <input type="submit" value="提交" />
    </div>
    </form>
CKEditorDemo.aspx.cs: 
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;

namespace BookShop.Web.Test
{
    public partial class CKEditorDemo : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            if (IsPostBack)
            {
                Response.Write(Request.Form["editorName"]);  //接收客户端传过来的数据。
            }
        }
    }
}


houyanhua1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ckeditor漏洞
01-17 7714
转自:http://www.netknight.in/archives/28/ 1、ckfinder上传漏洞ckfinder是一个AJAX的文件管理工具,配合ckeditor用于网站上传、管理文件。但是ckfinder/ckfinder.html页面,访问不需特别权限。利用在IIS6.0的环境下的解析漏洞可拿webshell。 2、ckeditor上传漏洞http://www....
ckeditor 文本编辑器与asp.net的结合实例
11-13
8. **数据持久化**: 当用户在CKEditor中编辑内容并提交时,你需要ASP.NET后台处理这些数据,可能将它们存储到数据库或其他持久化存储中。这通常涉及到HTML内容的清理和转义,以防止XSS攻击。 9. **样式和自定义**...
最新系统漏洞--CKEditor跨站脚本漏洞
weixin_48555088的博客
10-23 5037
最新系统漏洞2021年10月22日 受影响系统: CKEditor CKEditor 4 4.14.0 <= Version < 4.16.1 描述: CVE(CAN) ID: CVE-2021-33829 CKEditor是一套开源的、基于网页的文字编辑器。 CKEditor 4.14.0至4.16.1版本的HTML数据处理器存在跨站脚本漏洞。远程攻击者可通过特制的注释利用该漏洞注入JavaScript代码。 <**> 建议: 厂商补丁: CKEditor 目前厂商已经发布了升级补
2024年物联网嵌入式最全fckeditor编辑器上传漏洞getshell——突破(2),2024年最新贼厉害
最新发布
2401_85014346的博客
05-14 474
第二次 上传logo.asp;x.jpg ==>变成logo.asp;
CKEditor 版本探测和爬取历史漏洞(整理文)
soldi_er的博客
10-25 9715
文章目录版本探测历史漏洞 版本探测 由于是通过 ckeditor.js 引用 CKEditor JS API,所以在引用 CKEditor 编辑器的页面,可以找到前端代码引用的 ckeditor.js。 ckeditor.js 文件默认包含版本信息,位置在正文的第一行,也可以搜索 version(本地搜索到72项)。 历史漏洞 ...
ckeditor xss_防止CKEditor 3.x中进行XSS“ on”属性攻击
Web 开发&软件开发
07-26 645
防止CKEditor 3.x中进行XSS“ on”属性攻击 CKEditor 3.x的XSS / security问题与on属性有关。 例如,您可以通过onerror属性触发恶意代码-哎呀! 当然,该问题已在CKEditor 4中解决,但如果您具有自定义插件,则升级可能会成为问题。 这是解决问题的方法! JavaScript 我们将使用原型猴子补丁来完成此安全修复程序: // ...
富文本编辑器 xss 攻击的解决
热门推荐
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
CKEditor5基本使用
oldfee的博客
08-14 9247
https://www.jianshu.com/p/47e25447b771
基于asp.NET的留言板系统,要求:留言使用CKEditor进行编辑.zip
03-25
5. **安全考虑**:对用户提交的内容进行过滤和验证,防止XSS(跨站脚本攻击)和其他安全问题。 在ASP.NET中,可以使用内置的GridView控件来显示留言列表,通过Entity Framework或ADO.NET访问数据库。对于CKEditor...
Ckeditor文字格式
04-04
4. **安全考虑**: 使用`@Html.Raw()`需要注意XSS(跨站脚本攻击)风险。确保输入的内容已经过验证和清理,或者在展示时使用`@Html.Encode()`进行转义,除非你确定内容是可信的。 5. **富文本展示**: 如果你需要在...
ASP.NET HTML编辑器控件
04-07
这通常涉及在后台代码(C#)中处理`Request.Form`集合中的数据,解析和清理HTML字符串,以防止XSS(跨站脚本攻击)等安全问题。此外,还可以使用AJAX技术实现无刷新的预览和保存,提升用户体验。 综上所述,ASP.NET...
Liaotianshi.rar_ASP.NET 聊天 源码_asp.net_asp.net 聊天室_liaotianshi_qq
09-24
7. **安全性**:包括输入验证、防止SQL注入、XSS攻击等,确保应用的安全性。 8. **部署与配置**:了解IIS服务器配置,以及发布和部署ASP.NET应用程序的流程。 9. **API集成**:如与腾讯QQ API的对接,需要理解API...
关于CKEditor 4.0 过滤html标签
猪哥
11-03 4157
今天遇到一个问题,就是整个页面存储在数据库中,然后后台可以进行编辑,开始我使用ckeditor进行编辑,后来发现他会自动的过滤掉一些html标签,花了一上午的时间在网上查找资料,并且在官网也看了,但是结果都是不行的以下方法测试都不行: config.allowedContent = true; config.fullPage = true; 最后我们架构师和我们说是会有这样的问题,要我们用标
CKEditor 历史漏洞复现:CVE-2014-5191(无Poc)
soldi_er的博客
10-27 6777
文章目录选择测试版本 4.4.2安装 2015 年发布版本 4.4.2npm 安装 - 未成功bower 安装 - 成功页面引用 CKEditor寻找并测试漏洞 选择测试版本 4.4.2 根据官方公告的漏洞修复情况来看,第一个选择最好是 4.4.2。 安装 2015 年发布版本 4.4.2 npm 安装 - 未成功 访问 CKEditor 4 官方指南,查看 [Getting Started]模块。 新建 down-test 目录,测试不同命令的安装结果。 npm 安装命令 执行结果 npm
Fckeditor漏洞利用全面解析
weixin_34413802的博客
06-27 520
第一步:查看编辑器版本 FCKeditor/_whatsnew.html ————————————————————————————— 第二步. Version 2.2 版本 Apache+linux 环境下在上传文件后面加个.突破!测试通过。 ————————————————————————————— 第三步.Version <=2.4.2 For php ...
CKEditor5的使用
qq_44820964的博客
11-18 632
1、先下载CKEditor5的zip包,结构如下 https://ckeditor.com/ckeditor-5/download/ 2、先引用ckeditor.js,再写script,textarea的id要和script中要寻找的id一致 <textarea id="editor"/>编辑文本</textarea> <script src="${pageContext.request.contextPath}/ckeditor5-build-classic/ckedito
富文本编辑器ckeditor的使用
04-05 1859
一、 在前台用户使用的界面 要防止跨站脚本(xss)攻击所以使用ckeditor 中的UBB模式(功能比较少)特点:1将用户设置的字体样式信息保存成UBB编码 ,不会引起系统对“<”等字符的检测,最后输出的时候再转回来原有html样式; 2 这种模式不怕XSS攻击 可以关闭安全检测(关闭方法见下文) 因为他虽然有可能会将 $(function () { loa
java xss 注入攻击
05-27
在 Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入的数据进行编码,避免特殊字符被解析为 HTML 标签或 JavaScript 代码。例如,可以使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeHtml4()` 方法对 HTML 进行编码,或是使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeEcmaScript()` 方法对 JavaScript 进行编码。 3. 在页面中设置 CSP(Content Security Policy),限制外部资源的加载,避免恶意脚本的注入。 4. 如果需要在页面中显示用户输入的富文本,可以使用一些开源的富文本编辑器,例如 CKEditor、TinyMCE 等,这些编辑器都内置了防止 XSS 注入攻击的机制。 以上措施可以结合使用,以提高网站的安全性和防御 XSS 注入攻击的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值