码迷,mamicode.com
首页 > 其他好文 > 详细

Codeignight在保存编辑器内容时XSS挖的坑

时间:2018-08-23 13:03:20      阅读:518      评论:0      收藏:0      [点我收藏+]

标签:内容   prot   cat   err   反馈   编辑器   his   block   过滤   

前台编辑说,后台的ueditor编辑器咋不能居中了,我第一反应是前台的样式过度渲染了编辑内容的元素样式。

前端的反馈是没有,说看源代码里压根就没有设置style

<p xss=removed >...</p>

我觉得是ueditor编辑器的过滤设置,于是调了半天ueditor的配置ueditor.config

,xssFilterRules: false

//input xss过滤
,inputXssFilter: false

//output xss过滤
,outputXssFilter: false

,
allowDivTransToP: false

甚至连ueditor.all也动了

switch (node.tagName) {
    case ‘style‘: // 删除这项
    case ‘script‘:
        ....
}

还是无果,于是把关注点放在ci本身,直接在提交前调试文本内容是否有被过滤。

果然 到控制器内文本内容已经被修改了

$this->input->post(‘editorValue‘); //
从CI内置的方法走默认会被过滤掉,当然我的xss全局配置是已经打开的
$config[‘csrf_protection‘] = TRUE;//application/config/config.php

所以上面的代码要修改成

$this->input->post(‘editorValue‘,FALSE)

CI文档上还有如下说明

如果希望返回 POST 所有元素并将它们通过 XSS 过滤器进行过滤, 可以将第一个参数设为 NULL ,第二个参数设为 TRUE

$this->input->post(NULL, TRUE); // returns all POST items with XSS filter
$this->input->post(NULL, FALSE); // returns all POST items without XSS filter

 

Codeignight在保存编辑器内容时XSS挖的坑

标签:内容   prot   cat   err   反馈   编辑器   his   block   过滤   

原文地址:https://www.cnblogs.com/zhujingxiu/p/9522957.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!