关于存在Rich Text Editor的页面应该如何处理?

最新推荐文章于 2019-08-12 09:44:48 发布
最新推荐文章于 2019-08-12 09:44:48 发布
阅读量599 收藏
点赞数
文章标签: html javascript 文本编辑 object applet 脚本

 

  如果页面有富文本编辑器的控件的,那么必然会导致有类的HTML标签提交回来。在这种情况下,我们不得不将validateRequest="false"。那么安全性怎么处理?如何在这种情况下最大限度的预防跨站脚本攻击呢?

  根据微软的建议,我们应该采取安全上称为“默认禁止,显式允许”的策略。

  首先,我们将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。

  然后,我们再对我们所感兴趣的、并且是安全标签,通过Replace()进行替换。比如,我们希望有""标签,那么我们就将""显式的替换回""。

  示例代码如下:

以下是引用片段:
void submitBtn_Click(object sender, EventArgs e)
  ...{
    // 将输入字符串编码,这样所有的HTML标签都失效了。
    StringBuilder sb = new StringBuilder(
                            HttpUtility.HtmlEncode(htmlInputTxt.Text));
    // 然后我们选择性的允许<b> 和 <i>
    sb.Replace("&lt;b&gt;", "<b>");
    sb.Replace("&lt;/b&gt;", "");
    sb.Replace("&lt;i&gt;", "<i>");
    sb.Replace("&lt;/i&gt;", "");
    Response.Write(sb.ToString());
  }


  这样我们即允许了部分HTML标签,又禁止了危险的标签。


  根据微软提供的建议,我们要慎重允许下列HTML标签,因为这些HTML标签都是有可能导致跨站脚本攻击的。

以下是引用片段:

<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>
 


  可能这里最让人不能理解的是<img>。但是,看过下列代码后,就应该明白其危险性了。

以下是引用片段:
<img src="javascript:alert('hello');">
<img src="java script:alert('hello');">
<img src="java script:alert('hello');">


  通过<img>标签是有可能导致Javascript执行的,这样攻击者就可以做他想伪装的任何事情。

  关于<style>也是一样:

以下是引用片段:
<style TYPE="text/javascript">...
  alert('hello');
</style>

【转自www.bitsCN.com

铭记园园
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
rich-text-editor:富文本编辑器,旨在仅接受有限的嵌入式HTML标记集
04-29
link href =" rich-text-editor.min.css " rel =" stylesheet " > </ head > < body > < textarea > </ textarea > < script src =" rich-text-editor.min.js " > </ script &...
flex学习笔记 富文本编辑(一)-RichTextEditor
weixin_33904756的博客
08-27 222
用户可使用 RichTextEditor 控件输入文本并设置其格式。用户可以更改的文本特征包括字体系列、颜色、大小和样式以及其他属性(如文本对齐方式、项目符号和 URL 链接)。该控件由一个包括两个直属子项的 Panel 控件组成: 用户可在其中输入文本的 Text Area 控件。 具有允许用户指定文本特征的格式控件的容器。格式控件会影响正在键入的文...
【深入浅出ADF】<af:richTextEditor>富文本编辑组件
muhongdi的专栏
09-26 903
主要内容:效果预览1.1.3.1. 方法1:从组件面板拖拽生成1.1.3.2. 方法2:基于clob型字段生成1.1.3.2.2. 生成组件1.1.3.3. 方法3:基于varchar2型字段生成1.功能简介 提供带格式的文本输入功能。它可以改变文字的字体、大小,创建列表等。也可用于编辑HTML源码。 效果预览 标准模式SourceEditing模式  使用方法 方法1:从组件面板拖拽生成
在线富文本编辑器-基于Web的HTML编辑器大全(一)
weixin_30265171的博客
08-12 6279
  基于WEB的HTML 编辑器,WYSIWYG所见即所得的编辑器,或是一个富文本的编辑器,是我们在开发WEB应用和内容管理系统时接收用户输入时必需要考虑的问题。下面是网上牛人收集的一些开源的WEB在线的WYSWIG编辑器。   1. FCKeditor   FCKeditor 这些在线编辑器中最著名的一个,常在内容管理系统中见到,其功能相当的强大,很像一个Web的Word软件。它可...
Web Wiz Rich Text Editor 4.17.zip
05-23
Web Wiz Rich Text Editor 4.17 更新日志:2016-12-161.RTE_configuration/RTE_setup.asp - 更新的版本号和已删除的包含2.functions/functions_upload - 当使用Persists AspUpload时允许上传脚本文件的修复漏洞
Rich Text Editor 编辑器及网页代码实例.rar
07-09
Rich Text Editor 编辑器及使用实例,比较早的东西了,不知道有没有能用得上,比起FCKeditor、TinyMCE之类要小N多了,加载速度也快,并且支持IE、Mozila、Netscape,缺点是无法定制。不过新版的Rich Text Editor ...
Silverlight rich text editor v2.0.zip
07-09
Silverlight Rich Text Editor 适合与微软的 Silverlight 一起使用,功能丰富,不过,似乎原作者已经不再更新这个项目了。
activeadmin_quill_editor:ActiveAdmin的Quill Rich Text Editor
02-06
安装安装Active Admin之后,添加到您的Gemfile: gem 'activeadmin_quill_editor' (并执行bundle ) 如果您安装了不带Webpacker支持的Active Admin(目前为默认设置): 在您的Active Admin样式( app / assets / ...
微信小程序|组件-富文本rich-text
准提童子的专栏
09-17 2065
1. 效果图 2. wxml代码 &lt;!-- rich-text富文本,可渲染html --&gt; &lt;view class="page-body"&gt; &lt;view class="page-section"&gt; &lt;view class="page-section-title"&gt;传入html字符串&lt;/view&amp
Richeditor使用
yangtang_newton的专栏
10-21 3029
简单的读入xmal,html,cs,docx 数据:(1)private static Uri GetResourceUri(string resource)        {            AssemblyName assemblyName = new AssemblyName(typeof(Demo.MainPage).Assembly.FullName);            string resourcePath = "/" + assemblyName.Name + ";componen
富文本Richeditor
zhouxiaohe666的博客
07-12 2448
//添加依赖compile 'jp.wasabeef:richeditor-android:1.2.0'//控件 &lt;jp.wasabeef.richeditor.RichEditor         android:id="@+id/editor"         android:layout_width="match_parent"         android:layout_heigh...
RichTextEditor的用法
dsj188的专栏
06-22 1912
<br />如果我们的程序中有个CEikRichTextEditor或者是 CEikEdwin,而且不用控件本身的滚动条来控制文本的滚动的话,我们就需要了解下下面的内容。<br />CTextLayout的这个API-FindDocPos- 可以把控件中文本的位置信息转换为 控件的可视位置的坐标信息,就是以控件的top-left point为坐标的原点,所以如果文本的数目超过了控件的可视范围那么自动向上翻动的文本头转换为位置信息时Y点的坐标就是负的。<br />IMPORT_C TBool Fin
前端打包利器webpack里utils.cssLoaders的工作原理调试
SAP 资深技术专家 Jerry Wang 的技术分享
12-26 1535
要获取更多Jerry的原创文章,请关注公众号&quot;汪子熙&quot;:
自己实现Rich Text Editor
weixin_34161083的博客
08-04 223
文章截图 - 更好的排版经过对网上一些常见的RichTextEditor(rte-light, jHTMLArea, NicEdit)的分析后,我决定自己来实现一个。 为的不是重新发明轮子,我也没想把这个做成一个完整的轮子,仅仅是为了学习内部的实现机制。 1. 使IFrame可编辑 为了达到对HTML的编辑,我们不可能在TextArea中完成,这就需要借助一个内嵌的IFrame。 第一个问题就是如...
使用RichTextEditor请注意
石头
08-05 1046
使用RichTextEditor时,有设置全局的ComboBox样式, 如果将设置border-thickness: "","","","";将会影响到RichTextEditor内部的ComboBox,会出现border-thickness is NaN如需要使用请写为:border-thickness-bottom:1;border-thickness-left:1;border-thickn
如何解决uniapp在小程序端的rich-text的图片有溢出?
最新发布
03-08
您好,对于这个问题,您可以尝试使用CSS样式来控制图片的大小和位置,或者使用JavaScript来动态调整图片的大小和...同时,也可以考虑使用其他富文本编辑器或者组件来替代uniapp的rich-text组件。希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值