富文本插入图片的时候直接复制链接的风险点和解决方案

最新推荐文章于 2024-07-25 08:49:08 发布
最新推荐文章于 2024-07-25 08:49:08 发布
阅读量475 收藏 10
点赞数 3
分类专栏: vue实战 文章标签: vue.js 富文本 富文本直接插入图片链接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42389674/article/details/138012164
版权

业务背景

  • 最近由于项目需要开发了一个富文本的功能
  • 其中有一个小点是插入图片到富文本中,
    • 插入的时候是可以直接复制图片的链接地址插入
    • 我本来觉得没啥,但是感觉哪里不太对,于是开始了风险点评估,以及对应的解决方案

风险点评估

  • 插入的只是一个图片链接,无法判断内容是否合规,如果是非正规图片是不是就凉了
    • 虽然人眼是可以识别,但有几个问题
      • 已经上传到了我们项目的服务器了,难道再删除一次?
      • 当你的眼睛识别结束的时候,眼睛已经被伤害了啊
  • 有的图片资源设置了只有在同域名或者指定域名下才能访问
    • 会导致复制了链接,然后无法显示的问题
  • 图片尺寸大小,物理大小等无法控制,毕竟是别人的资源

如果强制需要,排除风险点方案

  • 开发图片审核接口
    • 插入图片链接前先传给后台校验资源接口,没问题后再返回给前台
    • 远程图片地址``下载为本地图片,再调用项目中的图片上传接口转为我们项目的资源,
  • 在插入图片链接的输入框里复制或者输入路劲的时候,直接进行图片链接的域名限制,只有指定域名的图片等资源才可插入到富文本编辑器中,从源头解决问题

综合评估

  1. 最简单方案
    • 除非是真的很必要,我建议直接将插入图片链接的功能去掉
  2. 折中方案,最佳实践
    • 输入链接的时候,对http资源的域名进行输入限制
  3. 理想方案,成本太大了
    • 开发图片审核接口,先审核是否合规,合规后下载文件并将其转换为我们项目的资源

致谢

  • 由于想到了这个问题就分析归纳了一波,又学到了,感谢这个小需求点
  • 感谢过往的经历,不然我真的想不到这么多
  • 感谢您百忙之中阅读我的文章,希望对您有帮助
  • 如果技术结合项目实战或者底层源码感兴趣,可以关注我噢,我最近两年估计会狂搞一波技术
丰的传说
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GPT-4介绍,论文链接
artistkeepmonkey的博客
03-15 6054
GPT-4 是 OpenAI 最先进的系统,可产生更安全、更有用的响应。GPT-4 可以更准确地解决难题,这要归功于其更广泛的常识和解决问题的能力。这是 OpenAI 努力扩展深度学习的最新里程碑。GPT-4 是一个大型多模态模型(接受图像和文本输入,发出文本输出),虽然在许多现实世界场景中的能力不如人类,但在各种专业和学术基准上表现出人类水平的表现。
百度富文本解析
01-25
本知识主要关注的是百度富文本解析工具,它是一个针对百度小程序的解决方案,旨在提供类似微信富文本编辑器的功能,并且经过实际测试,证明是可行的。 首先,我们要理解什么是富文本富文本与普通的纯文本不同,...
wangEditor富文本编辑器,图片添加链接功能
SILIKE的博客
09-15 1244
编辑器给图片添加链接,是给图片添加data-href属性。在实际应用中富文本的内容,需要用a标签包裹img标签。
ueditor富文本编辑器上传木马图片或木马文件漏洞
美奇软件开发工作室
04-27 1541
ueditor插件目录一般都自带index.html文件(完整demo文件),这个文件原来是用来测试插件功能的,但。插件目录下的index.html文件,删除不影响ueditor富文本编辑器的正常功能;
获取富文本中的图片链接
Dean_kai的博客
05-07 4153
有时候做轮播图的时候需要从富文本中获取到图片地址,代码如下所示/** * 得到网页中图片的地址 */ public static String getImgStr(String htmlStr) { Set<String> pics = new HashSet<>(); String img = ""; ...
关于 vue 富文本编辑器 Tinymce 踩坑日记
weixin_43541909的博客
07-09 1600
作为踩坑过 vue-quill-editor 富文本编辑器,以及 wangEditor 编辑器来说,个人感觉还是 Tinymce 功能更加强大跟齐全一些。说一下体验感,wangEditor 编辑器太年轻了,功能上缺乏很多东西,比如说上传图片无法方便的添加图片的 alt 信息,git issue上也有人提意见,功能目前还在计划中。而 vue-quill-editor 这款编辑器是根据 quill 编辑器为基础做的二次加工,功能上来说,感觉没有 Tinymce 增加功能方便简洁,而且为了一些特定化需求,.
富文本存储型XSS的模糊测试之道
weixin_30556959的博客
11-16 95
富文本存储型XSS的模糊测试之道 我是小号 · 2016/03/11 16:31 0x00 背景 凭借乌云漏洞报告平台的公开案例数据,我们足以管中窥豹,跨站脚本漏洞(Cross-site Script)仍是不少企业在业务安全风险排查和修复过程中需要对抗的“大敌”。 XSS可以粗分为反射型XSS和存储型XSS,当然再往下细分还有DOM XSS, mXSS(突变XSS)...
「划线高亮」和「插入笔记」—— 不止是前端知识
前端开发博客
09-12 714
如今前端领域:serverless,low code,全栈化等概念遍布漫天。开发者们热衷于讨论「如何把前端格局做大」,「如何将高高在上的概念落地」。此时,你有没有感受到「还不知道发展方向...
划线高亮和插入笔记的技术实现
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
09-24 936
作者:LucasHChttps://zhuanlan.zhihu.com/p/225773857如今前端领域:serverless,low code,全栈化等概念遍布漫天。开发者们热衷于...
常见Web攻击及解决方案
weixin_30516243的博客
04-11 138
DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 为了进一步认识DoS攻击,下面举个简单的栗子来进行说明:图1 TCP三次握手:数据段互换 Client发送连接请求报文,Server接受连接后回复ACK报文,并为这次连接分...
上传下载和富文本域demo
08-31
1. **富文本编辑器**:富文本域允许用户输入并格式化文本,如插入图片链接、列表等。常见的富文本编辑器有CKEditor、TinyMCE、Quill等,它们提供了丰的API和配置选项。 2. **HTML与Markdown转换**:富文本内容...
文本编辑器
08-18
这个脚本负责创建编辑器实例,提供各种编辑工具,如加粗、斜体、下划线,以及插入图片链接等。`nicEditorIcons.gif`则是一个包含所有编辑工具图标的图像文件,这些图标在用户界面中显示,用户可以通过击图标来...
jsp+ueditor web文本编辑器源代码
08-05
2. **ueditor**: ueditor是由百度开发的一款开源的Web富文本编辑器,它提供了丰的API和配置项,支持图片上传、视频插入、表格处理、代码高亮等多种功能。ueditor的出现,极大地提升了Web应用中文本编辑的用户体验...
精简版 FCKEditor 在线文本编辑器
12-03
3. **基本功能完备**:虽然进行了瘦身,但基础的文本格式化、图片上传、链接插入等功能依然保留,满足日常的文本编辑需求。 4. **兼容性**:精简版FCKEditor仍保持良好的浏览器兼容性,可以在多种浏览器环境下稳定...
【前端】vue 报错:The template root requires exactly one element
程序员-张师傅
07-25 923
Vue.js 中,当你遇到错误 “The template root requires exactly one element” 时,这通常意味着你的 Vue 组件的模板(template)根节不是单一的元素。Vue 要求每个组件的模板必须有一个根元素来包裹所有的子元素。如果你的模板看起来像这样,就会出现这个错误:
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
详解MATLAB Simulink通信系统建模与仿真
07-30
第1 章 MATLAB 基础与通信系统仿真 1.1 MATLAB 简介 1.2 MATLAB 程序设计 1.3 通信系统仿真 第2 章 Simulink 仿真基础 2.1 Simulink 简介 2.2 Simulink 工作环境 2.3 Simulink 仿真的基本方法 2.4 创建自己的模块库 2.5 S-函数的编写 第3 章 通信信号与系统分析 3.1 离散信号和系统 3.2 Fourier 分析 3.3 带通信号的低通等效 3.4 随机信号分析 第4 章 信道 4.1 加性高斯白噪声信道 4.2 多径衰落信道 第5 章 模拟调制 5.1 幅度调制 5.2 角度调制 第6 章 数字基带传输 6.1 概述 6.2 二进制基带信号传输 6.3 基带PAM 信号传输 6.4 带限信道的信号传输 第7 章 数字信号载波传输 7.1 概述 7.2 载波幅度调制(PAM) 7.3 载波相位调制(PSK) 7.4 正交幅度调制(QAM) 7.5 载波频率调制(FSK) 第8 章 信道编码和交织 8.1 概述 8.2 线性分组码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值