ueditor远程访问中设置上传文件以http开头的绝对路径

   ueditor1.24版本出来了,挺好的,但要会用。吐个糟,ueditor那些个什么讨论群,真是扯淡,除了调侃,没其它事儿了,别人问个事儿 问半天,没个人回答。经常看到些新手,叫些大神什么,才有人冒出来说两句,真是好笑。虽然本人进了那个什么鸟群,还是果断开开屏蔽消息,免得各种无聊信息,骚扰心情。

   今天遇到个问题,两个工程,一个是服务端,后台发布系统,发布信息用ueditor发布。一个是客户端,前台向后台拉取数据。但有一个问题就是,你ueditor上传文件的时候,你的路径保存的是相对路径,尽管你设置如下:window.UEDITOR_HOME_URL="/weiwo/ueditor/";  但依然是相对于工程的绝对路径,从另外一个工程访问这些资源(假设两个工程布在不同的机器上),这样是没办法正确访问的,只有通过http://localhost:8080这样的绝对路径才能访问,今天群里问了半天,没人回答,还遇到些无聊调侃的,后来果断自己解决。目前已经解决,如下:


 /**
     * 编辑器资源文件根路径。它所表示的含义是:以编辑器实例化页面为当前路径,指向编辑器资源文件(即dialog等文件夹)的路径。
     * 鉴于很多同学在使用编辑器的时候出现的种种路径问题,此处强烈建议大家使用"相对于网站根目录的相对路径"进行配置。
     * "相对于网站根目录的相对路径"也就是以斜杠开头的形如"/myProject/ueditor/"这样的路径。
     * 如果站点中有多个不在同一层级的页面需要实例化编辑器,且引用了同一UEditor的时候,此处的URL可能不适用于每个页面的编辑器。
     * 因此,UEditor提供了针对不同页面的编辑器可单独配置的根路径,具体来说,在需要实例化编辑器的页面最顶部写上如下代码即可。当然,需要令此处的URL等于对应的配置。
     * window.UEDITOR_HOME_URL = "/xxxx/xxxx/";
     */   


   请注意上面这段话,其实很有用的,记得多看几遍,当然,跟本文讲的没多大关系,我是想说,如果你只是通过本地访问,没有必要用我以下这种方式,用上面的方式即可。

   我采用的方式的思想是,在文件上传成功,注入html代码到页面时,改变它的链接地址,这样即可以上传成功,也可以访问。ueditor已经提供了这样的配置。

 首先,我们配置个总的路径


window.UEDITOR_HOME_URL="/weiwo/ueditor/";


   这是将编辑器的路径指向工程的哪个目录,供内部引用。


    /**
     * 此处配置写法适用于UEditor小组成员开发使用,外部部署用户请按照上述说明方式配置即可,建议保留下面两行,以兼容可在具体每个页面配置window.UEDITOR_HOME_URL的功能。
     */
  27  var tmp = location.protocol.indexOf("file")==-1 ? location.pathname : location.href;
  28  URL = window.UEDITOR_HOME_URL||tmp.substr(0,tmp.lastIndexOf("\/")+1).replace("_examples/","").replace("website/","");//这里你可以配置成ueditor目录在您网站的相对路径或者绝对路径(指以http开头的绝对路径)
   29  var URL0 = "http://192.168.1.100:8081";


    请注意,27、28行请不要修改,按它建议的保留。我们加个外部变量,URL0来保存我们的远程访问地址,如29行。


   请注意,我们需要把所有上传的配置,将它们的修正地址改为我们现有的地址即URL0+URL,处理地址请不要改变。

//为编辑器实例添加一个路径,这个不能被注释
        UEDITOR_HOME_URL : URL


        //图片上传配置区
        ,imageUrl:URL+"jsp/imageUp.jsp"             //图片上传提交地址
        ,imagePath:URL0 + URL + "jsp/"                     //图片修正地址,引用了fixedImagePath,如有特殊需求,可自行配置
       //,imageFieldName:"upfile"                   //图片数据的key,若此处修改,需要在后台对应文件修改对应参数
        //,compressSide:0                            //等比压缩的基准,确定maxImageSideLength参数的参照对象。0为按照最长边,1为按照宽度,2为按照高度
        //,maxImageSideLength:900                    //上传图片最大允许的边长,超过会自动等比缩放,不缩放就设置一个比较大的值,更多设置在image.html中


        //涂鸦图片配置区
        ,scrawlUrl:URL+"jsp/scrawlUp.jsp"           //涂鸦上传地址
        ,scrawlPath:URL0 + URL+"jsp/"                            //图片修正地址,同imagePath


        //附件上传配置区
        ,fileUrl:URL+"jsp/fileUp.jsp"               //附件上传提交地址
        ,filePath:URL0 + URL + "jsp/"                   //附件修正地址,同imagePath
        //,fileFieldName:"upfile"                    //附件提交的表单名,若此处修改,需要在后台对应文件修改对应参数


         //远程抓取配置区
        //,catchRemoteImageEnable:true               //是否开启远程图片抓取,默认开启
        ,catcherUrl:URL +"jsp/getRemoteImage.jsp"   //处理远程图片抓取的地址
        ,catcherPath:URL0 + URL + "jsp/"                  //图片修正地址,同imagePath
        //,catchFieldName:"upfile"                   //提交到后台远程图片uri合集,若此处修改,需要在后台对应文件修改对应参数
        //,separater:'ue_separate_ue'               //提交至后台的远程图片地址字符串分隔符
        //,localDomain:[]                            //本地顶级域名,当开启远程图片抓取时,除此之外的所有其它域名下的图片都将被抓取到本地,默认不抓取127.0.0.1和localhost


        //图片在线管理配置区
        ,imageManagerUrl:URL + "jsp/imageManager.jsp"       //图片在线管理的处理地址
        ,imageManagerPath:URL0 + URL + "jsp/"                                    //图片修正地址,同imagePath


        //屏幕截图配置区
        ,snapscreenHost: '127.0.0.1'                                  //屏幕截图的server端文件所在的网站地址或者ip,请不要加http://
        ,snapscreenServerUrl: URL +"jsp/imageUp.jsp" //屏幕截图的server端保存程序,UEditor的范例代码为“URL +"server/upload/jsp/snapImgUp.jsp"”
        ,snapscreenPath: URL0 + URL + "jsp/"
        //,snapscreenServerPort: 80                                    //屏幕截图的server端端口
        //,snapscreenImgAlign: 'center'                                //截图的图片默认的排版方式


        //word转存配置区
        ,wordImageUrl:URL + "jsp/imageUp.jsp"             //word转存提交地址
        ,wordImagePath:URL0 + URL + "jsp/"                       //
        //,wordImageFieldName:"upfile"                     //word转存表单名若此处修改,需要在后台对应文件修改对应参数


        //获取视频数据的地址
        ,getMovieUrl:URL0 + URL+"jsp/getMovie.jsp"                   //视频数据获取地址

好了,现在配置完成。页面引用不变。

    url0请不要用http://localhost... 这样的,因为你用localhost,它写入html时,也是localhost,别人访问,只会访问他的本地,然后这是服务器上的,并不是它机器上的,所以请用自己的ip或者域名。

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
UEditor编辑器存在一个高危漏洞,即在抓取远程数据源时未对文件后缀名做验证,导致任意文件写入漏洞。黑客可以利用这个漏洞,在服务器上执行任意指令。这个漏洞只影响.NET版本的UEditor,其他版本暂时不受影响。 为了利用这个漏洞,黑客可以在UEditor编辑器的shell地址处填写服务器上的图片马地址,构造成特定格式。例如,在URL将图片马地址后缀更改为.aspx,绕过上传使其解析为aspx文件,从而达到任意文件上传的目的。 为了防止这个漏洞被利用,建议开发者及时更新UEditor编辑器的最新版本,并确保在抓取远程数据源时对文件后缀名进行验证。此外,也可以限制用户上传的文件类型和大小,加强服务器的安全配置,以减少潜在的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Ueditor编辑器任意文件上传漏洞](https://blog.csdn.net/m0_51468027/article/details/126077427)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Django集成百度富文本编辑器uEditor攻略](https://download.csdn.net/download/weixin_38613154/14865210)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值