我想阻止用户在我的主机上上传 shell(利用)。我记得 fckeditor,几乎没有允许黑客在服务器上上传文件的错误。ckeditor有类似的问题吗?
如何信任用户文件并确保它们不是假文件,例如:黑客可以在 pdf 文件中进行编辑 -> 文件具有 pdf 扩展名和类型但包含恶意代码。
使用 htmlencode、htmldecode 是否足以应对 XSS 攻击?
问问题
1448 次
1 回答
2
CKEditor 不包含任何文件上传,您必须添加该部分。
同样,CKEditor 没有那个部分。他们出售 CKFinder 来担任该角色,并且它有一些检查以验证上传的文件是否安全,但您必须非常小心您允许哪些用户将文件上传到您的服务器。
不。如果您使用的是所见即所得编辑器,您将不会对提供的数据进行 htmlencode,其他基本技巧也不够。您需要像HTMLPurifier这样的全面检查
于 2012-06-19T12:41:26.743 回答