我有一个基于ASP.NET和C#的站点。该网站的要求之一是允许用户在WYSIWYG类型编辑器中输入文本以及上传图像。
我使用.NET HTMLEditor开始开发,起初很高兴。在花了几个小时尝试向控件添加图像上传按钮后,我放弃了控件。
相反,我现在正在使用obout HTMLEditor并且它工作得很好。它有一个图像上传器,我能够动态设置保存文件的位置,这很棒。现在,图像进入了我可以用IIS部分锁定的网站的子文件夹,以防止目录浏览等事情。
我担心,因为我对javascript知之甚少,就潜在的安全问题而言。之前,当我使用.NET代码进行图像上传时,我能够采取一系列步骤。我假设javascript代码使用与运行该站点的IIS ApplicationPool相同的用户权限运行。
最后,问题。在.NET站点上实现javascript图像上传器是否安全?我看到的唯一其他解决方案是编写一个.NET图像上传器,然后使用“图像浏览器”控件将图像插入HTMLEditor,但这对用户来说似乎更难。
答案 0 :(得分:2)
是的,javascript代码总是在客户端执行。它无法使用javascript访问您的网络服务器的任何资源。