我有一个基于 ASP.NET 和 C# 的网站。该站点的要求之一是允许用户在所见即所得类型编辑器中输入文本以及上传图像。
我开始使用 .NET HTMLEditor 进行开发,起初我很高兴。在花了几个小时试图将图像上传按钮添加到控件后,我放弃了控件。
相反,我现在使用的是 obout HTMLEditor,它运行良好。它有一个图片上传器,我可以动态设置保存文件的位置,这很棒。现在图像进入站点的一个子文件夹,我可以用 IIS 部分锁定它以防止诸如目录浏览之类的事情。
因为我对javascript知之甚少,所以我担心的是潜在的安全问题。之前,当我使用 .NET 代码上传图片时,我可以采取很多步骤。我假设 javascript 代码以与运行该站点的 IIS ApplicationPool 相同的用户权限运行。
所以最后,这个问题。在 .NET 网站上实现 javascript 图片上传器是否安全?我看到的唯一其他解决方案是编写一个 .NET 图像上传器,然后使用“图像浏览器”控件将图像插入 HTMLEditor,但这对用户来说似乎更难。