我希望阻止用户在我的主机上上传shell(exploit)。我记得fckeditor,几乎没有错误允许黑客上传服务器上的文件。 ckeditor有类似的问题吗?
如何信任用户文件并确保它们不是假文件,例如:黑客可以在pdf文件中编辑 - >文件有pdf扩展名和类型,但有恶意代码。
使用htmlencode,htmldecode足以进行XSS攻击吗?
答案 0 :(得分:2)
CKEditor不包含任何文件上传,您必须添加该部分。
同样,CKEditor没有那个部分。他们出售CKFinder来填补这个角色,它有一些检查来验证上传的文件是否安全,但你必须非常小心你允许哪些用户将文件上传到你的服务器。
没有。如果您使用的是WYSIWYG编辑器,则不会对提供的数据进行htmlencode,而其他基本技巧也不够。您需要完整的检查,例如HTMLPurifier