我创建了一个页面,其中我有两个输入textareas并且我将CKeditor(版本4)添加到它们中。
第一个编辑器工作正常,我在config.js中设置config.allowedContent = true;以停止剥离像<script>这样的标签,一切都按预期工作。
我在它下面有另一个编辑器,相同的设置,相同的设置,我只是更改了textarea字段的ID。它在我提交普通文本时有效,但是只要我添加<script>标签,然后按下编辑所在的表单的提交按钮似乎重新加载页面,就不会提交任何数据和firebug告诉我服务器返回403。
我尝试隔离编辑器,添加个人配置。没有。第一个textarea就像一个魅力,如果文本中有不安全的标签,则第二个返回403.
我的设置如下,我正在使用此ckeditor helper将编辑器插入到我需要的位置。正如您猜测的那样,页面是使用CodeIgniter创建的 我在ckeditor文件夹中得到了一个config.js文件 我正在使用普通表格,对它没什么好看的。看起来像这样
<form action="http://domain.com/admin/articles/edit/47" method="post">
<div id="cke_ckeditor_en_container">
<textarea cols="75" rows="7" id="ckeditor_en" name="text_en" class="input-text is-col-text"><?php echo set_value('text_en', isset($text_en) ? htmlspecialchars_decode($text_en) : ''); ?></textarea>
<?php echo display_ckeditor($ckeditor_en); ?>
</div>
<input type="submit" value="submit" />
</form>
表单中另一个编辑器的html的另一部分是相同的,具有更改的id和其他属性,以及一个复选框,没有任何相关性。
在我的控制器中得到了这个
public function edit(){
$this->load->helper('ckeditor');
$id = (int)$this->uri->segment(4);
if (empty($id)){
$this->session->set_flashdata('error', 'Empty ID!');
redirect('admin/articles');
}
$data = $this->articles_model->fetch_article($id);
$data['page_title'] = "Edit `" . $data['title'] . "`";
$data['form_url'] = "admin/articles/edit/" . $id;
$data['ckeditor'] = array(
'id' => 'ckeditor',
'path' => 'js/ckeditor');
$data['ckeditor_en'] = array(
'id' => 'ckeditor_en',
'path' => 'js/ckeditor');
$data['edit'] = true;
if($this->input->post('submit')){
$this->save_article("update",$id);
}
$this->load->view("admin/articles",$data);
}
private function save_article($type='insert', $id=0){
$this->load->library('form_validation');
$this->form_validation->set_rules('title','Title','trim|xss_clean|max_length[150]|min_length[1]');
$this->form_validation->set_rules('text','Text','trim');
$this->form_validation->set_rules('title_en','Title EN','trim|xss_clean|max_length[150]|min_length[1]');
$this->form_validation->set_rules('text_en','Text EN','trim');
$this->form_validation->set_rules('top_menu','Show in top menu','trim|xss_clean|max_length[1]');
if ($this->form_validation->run() === FALSE)
{
return FALSE;
}
// make sure we only pass in the fields we want
$data = array();
$data['title'] = $this->input->post('title');
$data['text'] = htmlspecialchars($this->input->post('text'));
$data['title_en'] = $this->input->post('title_en');
$data['text_en'] = htmlspecialchars($this->input->post('text_en'));
$data['url'] = $this->toAscii($this->input->post('title'));
$data['url_en'] = $this->toAscii($this->input->post('title_en'));
$data['top_menu'] = $this->input->post('top_menu');
if($type == "insert"){
$data['time'] = date("YmdHis");
}
if ($type == 'insert'){
if($this->articles_model->insert($data)){
$this->session->set_flashdata('success', 'Article added successfully!');
}else{
$this->session->set_flashdata('error', 'An error occured!');
}
}else if ($type == 'update'){
if($this->articles_model->update($id, $data)){
$this->session->set_flashdata('success', 'Article `' . $data['title'] . '` edited successfully!');
}else{
$this->session->set_flashdata('error', 'An error ecc!');
}
}
redirect("admin/articles");
}
确切地说,安全性或不安全性与我的代码无关
修改
为ckeditor添加config.js。
CKEDITOR.editorConfig = function( config ) {
config.filebrowserBrowseUrl = '/js/kcfinder/browse.php?type=files';
config.filebrowserImageBrowseUrl = '/js/kcfinder/browse.php?type=images';
config.filebrowserFlashBrowseUrl = '/js/kcfinder/browse.php?type=flash';
config.filebrowserUploadUrl = '/js/kcfinder/upload.php?type=files';
config.filebrowserImageUploadUrl = '/js/kcfinder/upload.php?type=images';
config.filebrowserFlashUploadUrl = '/js/kcfinder/upload.php?type=flash';
config.removeButtons = 'Underline,Subscript,Superscript';
config.allowedContent = true;
// Se the most common block elements.
config.format_tags = 'p;h1;h2;h3;pre';
// Make dialogs simpler.
config.removeDialogTabs = 'image:advanced;link:advanced';
};
我感到难过和愚蠢,我对没有想法做了什么。似乎一个输入已被诅咒。
感谢任何帮助,谢谢。
答案 0 :(得分:0)
据我所知,你正试图在你的第二个文本区域添加一些内容。并且CKEditor删除了一些“不安全”的标签。我不会很安全,但这可以帮到你:
config.extraAllowedContent = '*{*}';
您将把它添加到您的config.js。此代码可让您添加任何所需内容。并且CKEditor不会删除“不安全”标签。
答案 1 :(得分:0)
这将是您的mod_security规则的结果。根据它们的严格程度,它们有助于更好地保护脚本免受漏洞攻击,通常是通过POST攻击的漏洞。