ASP CKEditor(UBB编辑器),用户端需要防跨站脚本攻击

最新推荐文章于 2022-01-22 11:30:47 发布
最新推荐文章于 2022-01-22 11:30:47 发布
阅读量556 收藏
点赞数
分类专栏: ASP.NET C# 文章标签: asp asp.net c# ckeditor 编辑器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houyanhua1/article/details/78984888
版权
C# 同时被 2 个专栏收录
106 篇文章 2 订阅
订阅专栏
ASP.NET
89 篇文章 0 订阅
订阅专栏

UBB编辑器属于CKEditor,可以防止跨站脚本攻击(XSS攻击),不能取消微软提供的脚本验证功能,因此需要使用UBB编辑器([p]XXX[/p])。在服务端将数据库中的UBB文本输出到浏览器中时需要通过正则表达式处理这些UBB的文本数据,包括防XSS攻击的处理(处理[]和<>)。

XXX.html:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script src="/js/jquery-1.7.1.js"></script>  <!--引入Jquery和CKEditor的JS文件-->
    <script src="/ckeditor/ckeditor.js"></script>
    
    <script type="text/javascript">
        $(function() {
            $("#btnAdd").click(function() {
                var oEditor = CKEDITOR.instances.txtContent; //找到UBB编辑器
                var msg = oEditor.getData(); //获取编辑器的内容([p]XXX[/p])
                alert(msg);
                oEditor.setData(""); //将编辑器的内容设为空,初始化编辑器。
            });
            loadUBBCode(); //加载UBB编辑器
        });
        //加载UBB编辑器
        function loadUBBCode() {  //txtContent,是绑定的textArea的id。
            CKEDITOR.replace('txtContent',
	{
	    extraPlugins: 'bbcode',
	    removePlugins: 'bidi,button,dialogadvtab,div,filebrowser,flash,format,forms,horizontalrule,iframe,indent,justify,liststyle,pagebreak,showborders,stylescombo,table,tabletools,templates',
	    toolbar:
		[
			['Source', '-', 'Save', 'NewPage', '-', 'Undo', 'Redo'],
			['Find', 'Replace', '-', 'SelectAll', 'RemoveFormat'],
			['Link', 'Unlink', 'Image'],
			'/',
			['FontSize', 'Bold', 'Italic', 'Underline'],
			['NumberedList', 'BulletedList', '-', 'Blockquote'],
			['TextColor', '-', 'Smiley', 'SpecialChar', '-', 'Maximize']
		],
	    smiley_images:
		[
			'regular_smile.gif', 'sad_smile.gif', 'wink_smile.gif', 'teeth_smile.gif', 'tounge_smile.gif',
			'embaressed_smile.gif', 'omg_smile.gif', 'whatchutalkingabout_smile.gif', 'angel_smile.gif', 'shades_smile.gif',
			'cry_smile.gif', 'kiss.gif'
		],
	    smiley_descriptions:
		[
			'smiley', 'sad', 'wink', 'laugh', 'cheeky', 'blush', 'surprise',
			'indecision', 'angel', 'cool', 'crying', 'kiss'
		]
	});
        }

    </script>

</head>
<body>
    <textarea id="txtContent" rows="20" cols="100" placeholder="有什么感想?来说说!!"></textarea><br />
    <input type="button" value="发布评论" id="btnAdd" />
</body>
</html>
将UBB编码转成HTML编码的工具类: 
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Text.RegularExpressions;
using System.Threading.Tasks;
using System.Web;
using System.Web.Hosting;

namespace Common
{
    public class WebCommon
    {
        //将UBB编码转成HTML编码。1.[p]XXX[/p](数据库中的数据)---html可以解析的文本。2.<>(防XSS攻击)--->,<
        public static string UbbToHtml(string argString)
        {
            string tString = argString;
            if (tString != "")
            {
                Regex tRegex;
                bool tState = true;
                tString = tString.Replace("&", "&");
                tString = tString.Replace(">", ">");  //防XSS攻击
                tString = tString.Replace("<", "<");
                tString = tString.Replace("\"", """);
                tString = Regex.Replace(tString, @"\[br\]", "<br />", RegexOptions.IgnoreCase);
                string[,] tRegexAry = {
          {@"\[p\]([^\[]*?)\[\/p\]", "$1<br />"},
          {@"\[b\]([^\[]*?)\[\/b\]", "<b>$1</b>"},
          {@"\[i\]([^\[]*?)\[\/i\]", "<i>$1</i>"},
          {@"\[u\]([^\[]*?)\[\/u\]", "<u>$1</u>"},
          {@"\[ol\]([^\[]*?)\[\/ol\]", "<ol>$1</ol>"},
          {@"\[ul\]([^\[]*?)\[\/ul\]", "<ul>$1</ul>"},
          {@"\[li\]([^\[]*?)\[\/li\]", "<li>$1</li>"},
          {@"\[code\]([^\[]*?)\[\/code\]", "<div class=\"ubb_code\">$1</div>"},
          {@"\[quote\]([^\[]*?)\[\/quote\]", "<div class=\"ubb_quote\">$1</div>"},
          {@"\[color=([^\]]*)\]([^\[]*?)\[\/color\]", "<font style=\"color: $1\">$2</font>"},
          {@"\[hilitecolor=([^\]]*)\]([^\[]*?)\[\/hilitecolor\]", "<font style=\"background-color: $1\">$2</font>"},
          {@"\[align=([^\]]*)\]([^\[]*?)\[\/align\]", "<div style=\"text-align: $1\">$2</div>"},
          {@"\[url=([^\]]*)\]([^\[]*?)\[\/url\]", "<a href=\"$1\">$2</a>"},
          {@"\[img\]([^\[]*?)\[\/img\]", "<img src=\"$1\" />"}
        };
                while (tState)
                {
                    tState = false;
                    for (int ti = 0; ti < tRegexAry.GetLength(0); ti++)
                    {
                        tRegex = new Regex(tRegexAry[ti, 0], RegexOptions.IgnoreCase);
                        if (tRegex.Match(tString).Success)
                        {
                            tState = true;
                            tString = Regex.Replace(tString, tRegexAry[ti, 0], tRegexAry[ti, 1], RegexOptions.IgnoreCase);
                        }
                    }
                }
            }
            return tString;
        }
    }
}
服务端中,通过工具类将数据库中的UBB编码转成HTML编码: 
string 客户端Model.Msg =Common.WebCommon.UbbToHtml(数据库Model.Msg); //将UBB编码转成HTML编码


houyanhua1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net ckeditor编辑器的使用方法
10-29
Fckeditor相信大家都知道。ckeditor是fckeditor的重写版,它的载入速度更快,界面更漂亮,更强的课定制性。试用了一下,下面介绍一下它在asp.net中的配置。
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...
smellycat000的专栏
11-22 2544
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
学习篇:CKeditorUBB编辑器的使用介绍
weixin_30758821的博客
10-31 104
要使用CKeditor,就需要CKeditor的官网上下载个组件来。 然后,就是引用它的js文件,来施展CKeditor的拳脚了。 要使用CKeditor需要一个textarea文本域,还需要添加上cols和rows属性。这样就可以使用一段代码,来使用CKeditor了。 <textarea id="Comment" cols="60" rows="30"></te...
「第三章」跨站脚本攻击(XSS)
hacckjacking
01-22 1574
批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第二篇」客户端脚本安全 0.6本书结构 就当前比较流行的客户端脚本攻击进行了深入阐述,当网站的安全做到一..
常见的绕过XSS过滤的方法
热门推荐
小白渣的博客
03-02 1万+
xss绕过过滤之方法 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...
最新系统漏洞--CKEditor跨站脚本漏洞
weixin_48555088的博客
10-23 5027
最新系统漏洞2021年10月22日 受影响系统: CKEditor CKEditor 4 4.14.0 <= Version < 4.16.1 描述: CVE(CAN) ID: CVE-2021-33829 CKEditor是一套开源的、基于网页的文字编辑器CKEditor 4.14.0至4.16.1版本的HTML数据处理器存在跨站脚本漏洞。远程攻击者可通过特制的注释利用该漏洞注入JavaScript代码。 <**> 建议: 厂商补丁: CKEditor 目前厂商已经发布了升级补
asp.net 使用ckeditor5富文本编辑器包含图片上传全部代码
03-11
ASP.NET应用中,CKEditor5是一款常用的富文本编辑器,它提供了丰富的文本格式化功能,包括图片上传。本文将详细介绍如何在ASP.NET环境中集成CKEditor5并实现图片上传功能。 首先,我们需要在项目中引入CKEditor5...
CKeditor(网页在线编辑器)for ASP.NET v3.6.2.rar
07-10
CKeditor是一款广泛应用于网页开发中的在线文本编辑器,尤其在ASP.NET框架下,它提供了强大的富文本编辑功能,使得用户可以在浏览器端实现所见即所得(WYSIWYG)的编辑体验。CKeditor v3.6.2是该编辑器的一个特定...
CKEditor 在线编辑器 v4.10
10-11
ckeditor是fckeditor html编辑器了一个升级版本,用过fckeditor的都知道,由于其打开速度的不理想把fckeditor用于网站做为在线编辑器并不是明智的选择,ckeditor正好弥补了这一缺陷,ckedi
CKEditorUBB编辑器的使用总结
weixin_33937778的博客
03-31 164
  2018-04-08 22:07:16.188 ERROR 14728 --- [nio-8082-exec-8] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Req...
CKEditor5记
qq_14853875的博客
01-17 1359
找了众多编辑器,有的样式漂亮但是功能不稳定bug多,说白了就是不成熟;强迫症患者不能放弃治疗,最后找到了CKEditor,唯一缺点就是中文资料比较少,但是多看看英文文档,准确的是多看看demo代码,就没啥问题; 下面有两个问题做个笔记,其他官网查资料,比较简单。 1.编辑器内上传图片 配置: ClassicEditor .create(document.querySele...
富文本编辑器ckeditor的使用
04-05 1859
一、 在前台用户使用的界面 要止跨站脚本(xss)攻击所以使用ckeditor 中的UBB模式(功能比较少)特点:1将用户设置的字体样式信息保存成UBB编码 ,不会引起系统对“<”等字符的检测,最后输出的时候再转回来原有html样式; 2 这种模式不怕XSS攻击 可以关闭安全检测(关闭方法见下文) 因为他虽然有可能会将 $(function () { loa
ckeditor自定义上传_带有自定义图像上传器的ckeditor5React
weixin_26717681的博客
08-14 675
ckeditor自定义上传Spent almost 2 days figuring out a proper way to use CKEditor5 image uploader. I’ve tried ckFinder, SimpleUploader, etc. but none of them worked maybe because none of the documentations m...
ajax前后端分离ckeditor,CKEditor富文本编辑器
最新发布
05-27
CKEditor 是一款开源的富文本编辑器,支持多种浏览器和平台,可以方便地嵌入到网站中。它提供了丰富的文本编辑功能,包括文字格式化、插入图片、插入表格等。可以通过插件扩展功能,支持自定义样式和脚本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值