KindEditor 和 xss过滤

最新推荐文章于 2019-04-29 11:08:00 发布
最新推荐文章于 2019-04-29 11:08:00 发布
阅读量248 收藏
点赞数
文章标签: python json php
原文链接:http://www.cnblogs.com/wumingxiaoyao/p/6593281.html
版权

KindEditor

 

1、进入官网

2、下载

  • 官网下载:http://kindeditor.net/down.php
  • 本地下载:http://files.cnblogs.com/files/wupeiqi/kindeditor_a5.zip

3、文件夹说明

1
2
3
4
5
6
7
8
9
10
11
12
13
14
├── asp                          asp示例
├── asp.net                    asp.net示例
├── attached                  空文件夹,放置关联文件attached
├── examples                 HTML示例
├── jsp                          java示例
├── kindeditor-all-min.js 全部JS(压缩)
├── kindeditor-all.js        全部JS(未压缩)
├── kindeditor-min.js      仅KindEditor JS(压缩)
├── kindeditor.js            仅KindEditor JS(未压缩)
├── lang                        支持语言
├── license.txt               License
├── php                        PHP示例
├── plugins                    KindEditor内部使用的插件
└── themes                   KindEditor主题

4、基本使用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<textarea name= "content"  id= "content" ></textarea>
 
<script src= "/static/jquery-1.12.4.js" ></script>
<script src= "/static/plugins/kind-editor/kindeditor-all.js" ></script>
<script>
     $( function  () {
         initKindEditor();
     });
 
     function  initKindEditor() {
         var  kind = KindEditor.create( '#content' , {
             width:  '100%' ,        // 文本框宽度(可以百分比或像素)
             height:  '300px' ,      // 文本框高度(只能像素)
             minWidth: 200,        // 最小宽度(数字)
             minHeight: 400       // 最小高度(数字)
         });
     }
</script>

5、详细参数

     http://kindeditor.net/docs/option.html

6、上传文件示例

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8">
    <title></title>
</head>
<body>

<div>
    <h1>文章内容</h1>
    {{ request.POST.content|safe }}
</div>


<form method="POST">
    <h1>请输入内容:</h1>
    {% csrf_token %}
    <div style="width: 500px; margin: 0 auto;">
        <textarea name="content" id="content"></textarea>
    </div>
    <input type="submit" value="提交"/>
</form>

<script src="/static/jquery-1.12.4.js"></script>
<script src="/static/plugins/kind-editor/kindeditor-all.js"></script>
<script>
    $(function () {
        initKindEditor();
    });

    function initKindEditor() {
        var a = 'kind';
        var kind = KindEditor.create('#content', {
            width: '100%',       // 文本框宽度(可以百分比或像素)
            height: '300px',     // 文本框高度(只能像素)
            minWidth: 200,       // 最小宽度(数字)
            minHeight: 400,      // 最小高度(数字)
            uploadJson: '/kind/upload_img/',
            extraFileUploadParams: {
                'csrfmiddlewaretoken': '{{ csrf_token }}'
            },
            fileManagerJson: '/kind/file_manager/',
            allowPreviewEmoticons: true,
            allowImageUpload: true
        });
    }
</script>
</body>
</html>

HTML

  

import os
import json
import time

from django.shortcuts import render
from django.shortcuts import HttpResponse


def index(request):
    """
    首页
    :param request:
    :return:
    """
    return render(request, 'index.html')


def upload_img(request):
    """
    文件上传
    :param request:
    :return:
    """
    dic = {
        'error': 0,
        'url': '/static/imgs/20130809170025.png',
        'message': '错误了...'
    }

    return HttpResponse(json.dumps(dic))


def file_manager(request):
    """
    文件管理
    :param request:
    :return:
    """
    dic = {}
    root_path = '/Users/wupeiqi/PycharmProjects/editors/static/'
    static_root_path = '/static/'
    request_path = request.GET.get('path')
    if request_path:
        abs_current_dir_path = os.path.join(root_path, request_path)
        move_up_dir_path = os.path.dirname(request_path.rstrip('/'))
        dic['moveup_dir_path'] = move_up_dir_path + '/' if move_up_dir_path else move_up_dir_path

    else:
        abs_current_dir_path = root_path
        dic['moveup_dir_path'] = ''

    dic['current_dir_path'] = request_path
    dic['current_url'] = os.path.join(static_root_path, request_path)

    file_list = []
    for item in os.listdir(abs_current_dir_path):
        abs_item_path = os.path.join(abs_current_dir_path, item)
        a, exts = os.path.splitext(item)
        is_dir = os.path.isdir(abs_item_path)
        if is_dir:
            temp = {
                'is_dir': True,
                'has_file': True,
                'filesize': 0,
                'dir_path': '',
                'is_photo': False,
                'filetype': '',
                'filename': item,
                'datetime': time.strftime('%Y-%m-%d %H:%M:%S', time.gmtime(os.path.getctime(abs_item_path)))
            }
        else:
            temp = {
                'is_dir': False,
                'has_file': False,
                'filesize': os.stat(abs_item_path).st_size,
                'dir_path': '',
                'is_photo': True if exts.lower() in ['.jpg', '.png', '.jpeg'] else False,
                'filetype': exts.lower().strip('.'),
                'filename': item,
                'datetime': time.strftime('%Y-%m-%d %H:%M:%S', time.gmtime(os.path.getctime(abs_item_path)))
            }

        file_list.append(temp)
    dic['file_list'] = file_list
    return HttpResponse(json.dumps(dic))

View

  

7、XSS过滤特殊标签

处理依赖

1
pip3 install beautifulsoup4
复制代码 
#!/usr/bin/env python
# -*- coding:utf-8 -*-
from bs4 import BeautifulSoup


class XSSFilter(object):
    __instance = None

    def __init__(self):
        # XSS白名单
        self.valid_tags = {
            "font": ['color', 'size', 'face', 'style'],
            'b': [],
            'div': [],
            "span": [],
            "table": [
                'border', 'cellspacing', 'cellpadding'
            ],
            'th': [
                'colspan', 'rowspan'
            ],
            'td': [
                'colspan', 'rowspan'
            ],
            "a": ['href', 'target', 'name'],
            "img": ['src', 'alt', 'title'],
            'p': [
                'align'
            ],
            "pre": ['class'],
            "hr": ['class'],
            'strong': []
        }

    @classmethod
    def instance(cls):
        if not cls.__instance:
            obj = cls()
            cls.__instance = obj
        return cls.__instance

    def process(self, content):
        soup = BeautifulSoup(content, 'lxml')
        # 遍历所有HTML标签
        for tag in soup.find_all(recursive=True):
            # 判断标签名是否在白名单中
            if tag.name not in self.valid_tags:
                tag.hidden = True
                if tag.name not in ['html', 'body']:
                    tag.hidden = True
                    tag.clear()
                continue
            # 当前标签的所有属性白名单
            attr_rules = self.valid_tags[tag.name]
            keys = list(tag.attrs.keys())
            for key in keys:
                if key not in attr_rules:
                    del tag[key]

        return soup.renderContents()


if __name__ == '__main__':
    html = """<p class="title">
                        <b>The Dormouse's story</b>
                    </p>
                    <p class="story">
                        <div name='root'>
                            Once upon a time there were three little sisters; and their names were
                            <a href="http://example.com/elsie" class="sister c1" style='color:red;background-color:green;' id="link1"><!-- Elsie --></a>
                            <a href="http://example.com/lacie" class="sister" id="link2">Lacie</a> and
                            <a href="http://example.com/tillie" class="sister" id="link3">Tilffffffffffffflie</a>;
                            and they lived at the bottom of a well.
                            <script>alert(123)</script>
                        </div>
                    </p>
                    <p class="story">...</p>"""

    v = XSSFilter.instance().process(html)
    print(v)
复制代码
复制代码 
#!/usr/bin/env python
# -*- coding:utf-8 -*-
from bs4 import BeautifulSoup


class XSSFilter(object):
    __instance = None

    def __init__(self):
        # XSS白名单
        self.valid_tags = {
            "font": ['color', 'size', 'face', 'style'],
            'b': [],
            'div': [],
            "span": [],
            "table": [
                'border', 'cellspacing', 'cellpadding'
            ],
            'th': [
                'colspan', 'rowspan'
            ],
            'td': [
                'colspan', 'rowspan'
            ],
            "a": ['href', 'target', 'name'],
            "img": ['src', 'alt', 'title'],
            'p': [
                'align'
            ],
            "pre": ['class'],
            "hr": ['class'],
            'strong': []
        }

    def __new__(cls, *args, **kwargs):
        """
        单例模式
        :param cls:
        :param args:
        :param kwargs:
        :return:
        """
        if not cls.__instance:
            obj = object.__new__(cls, *args, **kwargs)
            cls.__instance = obj
        return cls.__instance

    def process(self, content):
        soup = BeautifulSoup(content, 'lxml')
        # 遍历所有HTML标签
        for tag in soup.find_all(recursive=True):
            # 判断标签名是否在白名单中
            if tag.name not in self.valid_tags:
                tag.hidden = True
                if tag.name not in ['html', 'body']:
                    tag.hidden = True
                    tag.clear()
                continue
            # 当前标签的所有属性白名单
            attr_rules = self.valid_tags[tag.name]
            keys = list(tag.attrs.keys())
            for key in keys:
                if key not in attr_rules:
                    del tag[key]

        return soup.renderContents()


if __name__ == '__main__':
    html = """<p class="title">
                        <b>The Dormouse's story</b>
                    </p>
                    <p class="story">
                        <div name='root'>
                            Once upon a time there were three little sisters; and their names were
                            <a href="http://example.com/elsie" class="sister c1" style='color:red;background-color:green;' id="link1"><!-- Elsie --></a>
                            <a href="http://example.com/lacie" class="sister" id="link2">Lacie</a> and
                            <a href="http://example.com/tillie" class="sister" id="link3">Tilffffffffffffflie</a>;
                            and they lived at the bottom of a well.
                            <script>alert(123)</script>
                        </div>
                    </p>
                    <p class="story">...</p>"""

    obj = XSSFilter()
    v = obj.process(html)
    print(v)

转载于:https://www.cnblogs.com/wumingxiaoyao/p/6593281.html

weixin_34221036
关注
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 850
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
KindEditor 文件上传漏洞漏洞
mei_13的博客
07-31 1万+
1 漏洞简介 1.1 漏洞描述 KindEditor是一套开源的HTML可视化编辑器,使用JavaScript编写,支持asp、aspx、php、jsp,几乎支持了所有的网站,该编辑器主要用于让用户在网站上获得所见即所得编辑效果,兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器,非常适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用。且该编辑器支持上传功能,如果上传文件类型控制的不好,那么我们就能利用该漏洞,上传doc,docx,xls,xlsx,ppt,h
kindEditor使用并防止xss攻击(day88)
weixin_33836874的博客
06-08 594
过滤关键字防范xss 参考博客 # pip3 install beautifulsoup4 from bs4 import BeautifulSoup def xss(old): """ 防范xss攻击,过滤关键字符串。 :param old: 用户提交的博文内容或字符串 :return: new_str,返回合法的字符 ...
kindedit编辑器和xxs攻击防护(BeautifulSoup)的简单使用
weixin_30877181的博客
06-03 116
一、kindedit编辑器 就是上面这样的编辑输入文本的一个编辑器 这也是一个插件。那么怎么用呢? 1、下载:百度kindedit 2、引入: <script src="/static/kindeditor/kindeditor-all.js"></script> 3、看官方提供的文档 在addarticle.html中 ...
kindeditor编辑器代码过滤解决方法.
huangbaokang的博客
08-21 874
很多朋友在使用Kindeditor编辑器的时候都会遇到这样一个问题,如:给A标签加上title属性过后,浏览的时候,却神奇般地发现title属性没有了。再次切换html源代码的时候,返现编辑器将title属性给删掉了。追究其根本原因主要是kindeditor设置了标签和属性的默认过滤机制。KindEditor默认状态下会过滤编辑器里的html代码,主要是为了生成干净的代码,就会出现我们想不到的结果...
Django 富文本编辑框kindeditor、生成摘要 与 防XSS攻击
Zok的博客
08-30 646
富文本编辑框kindeditor 基础使用方法可以在官网查看 pip3 install BeautifulSoup4 # 1 scritp 引入路径 # 2 利用文档加参数 # 3 摘要自动生成,用文本截摘要(不能用上传的content!!,因为含有标签) from bs4 import BeautifulSoup soup = BeautifulSoup('包含标签的字符串', 'ht...
Kindeditor在线文本编辑器如何过滤HTML
10-22
过滤HTML可以帮助清理和限制提交到服务器端的数据,防止潜在的跨站脚本攻击(XSS)和其他安全问题。 要使用KindEditor进行HTML过滤,开发者需要设置一个过滤模式(filterMode)。默认情况下,filterMode是关闭的,...
kindeditor 4.1.11xss 漏洞修复
最新发布
06-13
KindEditor 4.1.11 版本的 XSS 漏洞修复可以参考以下步骤: 1. 下载最新版本的 KindEditor,并将其替换原来的文件。...同时,建议定期更新 KindEditor 并加强用户输入内容的过滤和验证,以保证编辑器的安全性。
kindeditor
04-25
4. **安全性**:考虑到HTML内容可能带来的安全问题,如XSS攻击,KindEditor提供了HTML过滤和白名单机制,确保用户输入的内容符合预设的安全规范。 5. **插件系统**:KindEditor的插件系统允许开发者扩展编辑器的...
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
KindEditor
******* ▄︻┻┳═一 *******
08-11 701
官网: http://kindeditor.net/demo.php 官网下载:http://kindeditor.net/down.php 官网文档:http://kindeditor.net/docs/option.html 一、文件夹说明 ├── asp asp示例 ├── asp.net asp....
富文本编辑器过滤XSS注入(JSOUP)
热门推荐
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
KindEditor白名单过滤和视频发布
heartOfblack 离开了电脑,我不希望我还有病
09-07 7449
在使用KindEditor编辑器的时候发现,自2013年开始,国家信息安全中心规定,需要对数据注入进行防范,因此KinEditor在新版本中加入了标签过滤,虽然如此,但是人们一样可以绕过编辑器进行XSS攻击。 如果发现KindEditor复制内容并粘贴无法获取原有的样式,那就是其中的一些标签被过滤了,而这些标签没有在htmltag列表里面,只有在这些规定的标签才不会被过滤,而KindEd
富文本编辑,xss攻击
weixin_30507269的博客
04-29 732
富文本编辑 KindEditor 在线HTML编辑器 http://kindeditor.net/doc.php 下载成功,解压放到项目中去 查看官方文档进行操作 xss攻击 XSS攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏...
Kindeditor: 在线HTML编辑器使用入门
Orangesss_的博客
08-25 336
1. 前端页面引入 &amp;amp;lt;!--导入html编辑器--&amp;amp;gt; &amp;amp;lt;script type=&amp;quot;text/javascript&amp;quot; src=&amp;quot;../../editor/kindeditor.js&amp;quot;&amp;amp;gt;&amp;amp;lt;/script&amp;amp;gt;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值