当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > FCKeditor.Net_2.2安全修正版

ASP.NET
asp.net下用服务器端代码解决浏览器兼容性问题
asp.net 安全的截取指定长度的html或者ubb字符串
asp.net 在线编辑word文档 可保存到服务器
asp.net 提高网站速度及如何利用缓存
asp.net 修改/删除站内目录操作后Session丢失问题
asp.net URL重写简化版 速学URL重写
asp.net EncryptHelper 加密帮助类
asp.net JSONHelper JSON帮助类
C# 调用存储过程简单完整的实例代码
vs2008 安装失败的总结与分享
HttpHandler HttpModule入门篇
ASP.NET(AJAX+JSON)实现对象调用
Asp.net 基于Cookie简易的权限判断
asp.net通过HttpModule自动在Url地址上添加参数
asp.net 字符串、二进制、编码数组转换函数
ASP.NET操作Excel备忘录
记录游客页面访问IP的简易实现代码 (asp.net+txt)
比较简单的将数据信息导入wrod文档方案(C# for word)
增加asp.net应用程序性能的20种方法(简单有效)
ASP.NET 图片防盗链的实现原理分析

ASP.NET 中的 FCKeditor.Net_2.2安全修正版


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-11   浏览: 38 ::
收藏到网摘: n/a

FCKeditor为一开源多功能在线Web编辑器。官方网站:http://www.fckeditor.net/
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》http://www.ruanchen.com/"http://www.lvjiyong.com/item/fckeditor-safe" target=_blank>http://www.lvjiyong.com/item/fckeditor-safe

=======================
FCKeditor 安全问题(只指.Net_2.2版)
上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。

解决方法:
可以查看修改过的FCKeditor.Net_2.2。
站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testFCKeditor。
FCKeditor.Net_2.2修改部分:
1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置UserFilesPath类似。
Application["FCKeditor:UploadDeniedExtensions"]
Session["FCKeditor:UploadDeniedExtensions"]
System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
可以参看实例testFCKeditor。
UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
2、Uploader.cs
3、FileBrowserConnector.cs
以上两文件增加对上传文件类型的验证。
4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。
注:
FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
本修改部分在ASP.NET 2.0下调试通过。
下载文件 下载此文件