devbox
知新_RL
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

ASP CKEditor(UBB编辑器),用户端需要防跨站脚本攻击_ckeditor5仿xss

作者:知新_RL | 2024-03-30 02:16:22

ckeditor5仿xss

UBB编辑器属于CKEditor,可以防止跨站脚本攻击(XSS攻击),不能取消微软提供的脚本验证功能,因此需要使用UBB编辑器([p]XXX[/p])。在服务端将数据库中的UBB文本输出到浏览器中时需要通过正则表达式处理这些UBB的文本数据,包括防XSS攻击的处理(处理[]和<>)。

XXX.html:

  1. <!DOCTYPE html>
  2. <html xmlns="http://www.w3.org/1999/xhtml">
  3. <head>
  4.     <title></title>
  5.     <script src="/js/jquery-1.7.1.js"></script>  <!--引入Jquery和CKEditor的JS文件-->
  6.     <script src="/ckeditor/ckeditor.js"></script>
  7.     
  8.     <script type="text/javascript">
  9.         $(function() {
  10.             $("#btnAdd").click(function() {
  11.                 var oEditor = CKEDITOR.instances.txtContent; //找到UBB编辑器
  12.                 var msg = oEditor.getData(); //获取编辑器的内容([p]XXX[/p])
  13.                 alert(msg);
  14.                 oEditor.setData(""); //将编辑器的内容设为空,初始化编辑器。
  15.             });
  16.             loadUBBCode(); //加载UBB编辑器
  17.         });
  18.         //加载UBB编辑器
  19.         function loadUBBCode() {  //txtContent,是绑定的textArea的id。
  20.             CKEDITOR.replace('txtContent',
  21. 	{
  22. 	    extraPlugins: 'bbcode',
  23. 	    removePlugins: 'bidi,button,dialogadvtab,div,filebrowser,flash,format,forms,horizontalrule,iframe,indent,justify,liststyle,pagebreak,showborders,stylescombo,table,tabletools,templates',
  24. 	    toolbar:
  25. 		[
  26. 			['Source', '-', 'Save', 'NewPage', '-', 'Undo', 'Redo'],
  27. 			['Find', 'Replace', '-', 'SelectAll', 'RemoveFormat'],
  28. 			['Link', 'Unlink', 'Image'],
  29. 			'/',
  30. 			['FontSize', 'Bold', 'Italic', 'Underline'],
  31. 			['NumberedList', 'BulletedList', '-', 'Blockquote'],
  32. 			['TextColor', '-', 'Smiley', 'SpecialChar', '-', 'Maximize']
  33. 		],
  34. 	    smiley_images:
  35. 		[
  36. 			'regular_smile.gif', 'sad_smile.gif', 'wink_smile.gif', 'teeth_smile.gif', 'tounge_smile.gif',
  37. 			'embaressed_smile.gif', 'omg_smile.gif', 'whatchutalkingabout_smile.gif', 'angel_smile.gif', 'shades_smile.gif',
  38. 			'cry_smile.gif', 'kiss.gif'
  39. 		],
  40. 	    smiley_descriptions:
  41. 		[
  42. 			'smiley', 'sad', 'wink', 'laugh', 'cheeky', 'blush', 'surprise',
  43. 			'indecision', 'angel', 'cool', 'crying', 'kiss'
  44. 		]
  45. 	});
  46.         }
  47.  
  48.     </script>
  49.  
  50. </head>
  51. <body>
  52.     <textarea id="txtContent" rows="20" cols="100" placeholder="有什么感想?来说说!!"></textarea><br />
  53.     <input type="button" value="发布评论" id="btnAdd" />
  54. </body>
  55. </html>
将UBB编码转成HTML编码的工具类: 
  1. using System;
  2. using System.Collections.Generic;
  3. using System.IO;
  4. using System.Linq;
  5. using System.Security.Cryptography;
  6. using System.Text;
  7. using System.Text.RegularExpressions;
  8. using System.Threading.Tasks;
  9. using System.Web;
  10. using System.Web.Hosting;
  11.  
  12. namespace Common
  13. {
  14.     public class WebCommon
  15.     {
  16.         //将UBB编码转成HTML编码。1.[p]XXX[/p](数据库中的数据)---html可以解析的文本。2.<>(防XSS攻击)--->,<
  17.         public static string UbbToHtml(string argString)
  18.         {
  19.             string tString = argString;
  20.             if (tString != "")
  21.             {
  22.                 Regex tRegex;
  23.                 bool tState = true;
  24.                 tString = tString.Replace("&", "&");
  25.                 tString = tString.Replace(">", ">");  //防XSS攻击
  26.                 tString = tString.Replace("<", "<");
  27.                 tString = tString.Replace("\"", """);
  28.                 tString = Regex.Replace(tString, @"\[br\]", "<br />", RegexOptions.IgnoreCase);
  29.                 string[,] tRegexAry = {
  30.           {@"\[p\]([^\[]*?)\[\/p\]", "$1<br />"},
  31.           {@"\[b\]([^\[]*?)\[\/b\]", "<b>$1</b>"},
  32.           {@"\[i\]([^\[]*?)\[\/i\]", "<i>$1</i>"},
  33.           {@"\[u\]([^\[]*?)\[\/u\]", "<u>$1</u>"},
  34.           {@"\[ol\]([^\[]*?)\[\/ol\]", "<ol>$1</ol>"},
  35.           {@"\[ul\]([^\[]*?)\[\/ul\]", "<ul>$1</ul>"},
  36.           {@"\[li\]([^\[]*?)\[\/li\]", "<li>$1</li>"},
  37.           {@"\[code\]([^\[]*?)\[\/code\]", "<div class=\"ubb_code\">$1</div>"},
  38.           {@"\[quote\]([^\[]*?)\[\/quote\]", "<div class=\"ubb_quote\">$1</div>"},
  39.           {@"\[color=([^\]]*)\]([^\[]*?)\[\/color\]", "<font style=\"color: $1\">$2</font>"},
  40.           {@"\[hilitecolor=([^\]]*)\]([^\[]*?)\[\/hilitecolor\]", "<font style=\"background-color: $1\">$2</font>"},
  41.           {@"\[align=([^\]]*)\]([^\[]*?)\[\/align\]", "<div style=\"text-align: $1\">$2</div>"},
  42.           {@"\[url=([^\]]*)\]([^\[]*?)\[\/url\]", "<a href=\"$1\">$2</a>"},
  43.           {@"\[img\]([^\[]*?)\[\/img\]", "<img src=\"$1\" />"}
  44.         };
  45.                 while (tState)
  46.                 {
  47.                     tState = false;
  48.                     for (int ti = 0; ti < tRegexAry.GetLength(0); ti++)
  49.                     {
  50.                         tRegex = new Regex(tRegexAry[ti, 0], RegexOptions.IgnoreCase);
  51.                         if (tRegex.Match(tString).Success)
  52.                         {
  53.                             tState = true;
  54.                             tString = Regex.Replace(tString, tRegexAry[ti, 0], tRegexAry[ti, 1], RegexOptions.IgnoreCase);
  55.                         }
  56.                     }
  57.                 }
  58.             }
  59.             return tString;
  60.         }
  61.     }
  62. }
服务端中,通过工具类将数据库中的UBB编码转成HTML编码: 
string 客户端Model.Msg =Common.WebCommon.UbbToHtml(数据库Model.Msg); //将UBB编码转成HTML编码


声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/338596
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号