-
我想阻止用户在我的主机上上传 shell(漏洞利用)。我记得fckeditor,几乎没有允许黑客在服务器上上传文件的错误。ckeditor有类似的问题吗?
-
如何信任用户文件并确保它们不是假文件,例如:黑客可以在pdf文件内编辑 ->文件具有pdf扩展名和类型,但具有恶意代码。
-
使用htmlencode,htmldecode足以进行XSS攻击吗?
-
CKEditor不包含任何文件上传,您必须添加该部分。
-
同样,CKEditor没有这个部分。他们出售 CKFinder 来填补该角色,并且它有一些检查来验证上传的文件是否安全,但您必须非常小心允许哪些用户将文件上传到您的服务器。
-
不。如果您使用的是所见即所得的编辑器,则不会对提供的数据进行 html 编码,其他基本技巧也不够。你需要像HTMLPurifier这样的全面检查