codeigniter 提交某些html标记时CKeditor返回403

rxztt3cl  于 2022-12-07  发布在  其他
关注(0)|答案(3)|浏览(134)

我已经创建了一个页面,其中有两个输入文本区域,并将CKeditor(版本4)添加到这两个区域中。
第一个编辑器工作正常,我在config.js中设置了config.allowedContent = true;,以停止剥离像<script>这样的标记,一切都按预期工作。
我在它下面有另一个编辑器,同样的设置,同样的设置,我只是改变了textarea字段的ID。当我提交普通文本时,它可以工作,但是当我添加一个<script>标签,例如,并按下编辑器所在表单的提交按钮时,它似乎重新加载了页面,没有提交任何数据,Firebug告诉我服务器返回403。
我试着隔离编辑器,添加个人配置。什么都没有。第一个文本区工作起来很有魅力,第二个文本区返回403,如果文本中有 unsafe 标签。
我的设置如下,我使用这个ckeditor helper在我需要的地方插入编辑器。正如你所猜测的,页面是用CodeIgniter创建的。
我在ckeditor文件夹中找到了一个config.js文件。
我用的是普通的表格,没有什么花哨的地方。它看起来像这样

<form action="http://domain.com/admin/articles/edit/47" method="post">
    <div id="cke_ckeditor_en_container">
        <textarea cols="75" rows="7" id="ckeditor_en" name="text_en" class="input-text is-col-text"><?php echo set_value('text_en', isset($text_en) ? htmlspecialchars_decode($text_en) : ''); ?></textarea>
        <?php echo display_ckeditor($ckeditor_en); ?>
    </div>
    <input type="submit" value="submit" />
</form>

该表单有另一个编辑器的html的另一部分,这是相同的,有更改的id和其他属性,和一个复选框,没有相关的。
把这个放进我的控制器

public function edit(){
    $this->load->helper('ckeditor');
    $id = (int)$this->uri->segment(4);

    if (empty($id)){
        $this->session->set_flashdata('error', 'Empty ID!');
        redirect('admin/articles');
    }

    $data = $this->articles_model->fetch_article($id);

    $data['page_title'] = "Edit `" . $data['title'] . "`";
    $data['form_url'] = "admin/articles/edit/" . $id;

    $data['ckeditor'] = array(
        'id'    =>  'ckeditor',
        'path'  =>  'js/ckeditor');
    $data['ckeditor_en'] = array(
        'id'    =>  'ckeditor_en',
        'path'  =>  'js/ckeditor');

    $data['edit'] = true;   

    if($this->input->post('submit')){
        $this->save_article("update",$id);
    }

    $this->load->view("admin/articles",$data);
}

private function save_article($type='insert', $id=0){
    $this->load->library('form_validation');

    $this->form_validation->set_rules('title','Title','trim|xss_clean|max_length[150]|min_length[1]');          
    $this->form_validation->set_rules('text','Text','trim');

    $this->form_validation->set_rules('title_en','Title EN','trim|xss_clean|max_length[150]|min_length[1]');            
    $this->form_validation->set_rules('text_en','Text EN','trim');

    $this->form_validation->set_rules('top_menu','Show in top menu','trim|xss_clean|max_length[1]');            

    if ($this->form_validation->run() === FALSE)
    {
        return FALSE;
    }

    // make sure we only pass in the fields we want

    $data = array();
    $data['title']       = $this->input->post('title');
    $data['text']        = htmlspecialchars($this->input->post('text'));

    $data['title_en']       = $this->input->post('title_en');
    $data['text_en']        = htmlspecialchars($this->input->post('text_en'));

    $data['url']               = $this->toAscii($this->input->post('title'));
    $data['url_en']            = $this->toAscii($this->input->post('title_en'));

    $data['top_menu']        = $this->input->post('top_menu');

    if($type == "insert"){
        $data['time']           = date("YmdHis");
    }

    if ($type == 'insert'){
        if($this->articles_model->insert($data)){
            $this->session->set_flashdata('success', 'Article added successfully!');
        }else{
            $this->session->set_flashdata('error', 'An error occured!');
        }
    }else if ($type == 'update'){
        if($this->articles_model->update($id, $data)){
            $this->session->set_flashdata('success', 'Article `' . $data['title'] . '` edited successfully!');
        }else{
            $this->session->set_flashdata('error', 'An error ecc!');
        }
    }
    redirect("admin/articles");

}
  • 确切地说,我的代码的安全性或不安全性无关紧要 *
    edit正在为检查器添加config.js
CKEDITOR.editorConfig = function( config ) {

    config.filebrowserBrowseUrl = '/js/kcfinder/browse.php?type=files';
    config.filebrowserImageBrowseUrl = '/js/kcfinder/browse.php?type=images';
    config.filebrowserFlashBrowseUrl = '/js/kcfinder/browse.php?type=flash';
    config.filebrowserUploadUrl = '/js/kcfinder/upload.php?type=files';
    config.filebrowserImageUploadUrl = '/js/kcfinder/upload.php?type=images';
    config.filebrowserFlashUploadUrl = '/js/kcfinder/upload.php?type=flash';

    config.removeButtons = 'Underline,Subscript,Superscript';
    config.allowedContent = true;
    // Se the most common block elements.
    config.format_tags = 'p;h1;h2;h3;pre';

    // Make dialogs simpler.
    config.removeDialogTabs = 'image:advanced;link:advanced';
};

我被难住了,我不知道该怎么做。似乎一个输入被诅咒了。
任何帮助都感激不尽,谢谢。

codeigniter

3条答案

按热度按时间
dpiehjr4

dpiehjr41#

这可能是mod_security规则的结果。根据它们的严格程度,它们有助于更好地保护脚本免受漏洞攻击,通常是那些通过POST攻击的脚本。

赞(0)分享  回复(0)举报  2022-12-07
yxyvkwin

yxyvkwin2#

据我所知,你正在尝试添加一些东西到你的第二个textarea。和CKEditor删除一些“不安全”的标签。我不会很安全,但这可以帮助你:

config.extraAllowedContent = '*{*}';

您将把它添加到config.js中。这段代码允许您添加任何您想要的内容。并且CKEditor不会删除“unsafe”标记。
该方法的文档

赞(0)分享  回复(0)举报  2022-12-07
gwo2fgha

gwo2fgha3#

https://www.bilisimkitabi.com/403-error-on-submit-of-ckeditor
您可以在.htaccess文件中添加以下代码

#ckeditor Post 403 problem
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
#ckeditor Post 403 problem
赞(0)分享  回复(0)举报  2022-12-07
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备2022004421号-2 NULL123 https://www.null123.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com