论坛 Forum

根据国家信息安全漏洞共享平台（即中国国家漏洞库，CNVD）要求，4.1.1版本开始默认开启白名单过滤，只能使用htmlTags里定义的HTML标签和属性，其它标签和属性会被编辑器过滤。如果要允许输入任何HTML代码，可以将filterMode参数设置成false。注意，这个过滤在浏览器端进行，攻击者仍然可以绕过编辑器直接提交XSS、CSRF等攻击代码，所以一定要在服务器端加入过滤逻辑，可参考HTML purifier、Jsoup等类库。

此外，KindEditor压缩包包含PHP、ASP、.NET、JSP等演示代码，因为包含上传和遍历目录功能，这些代码使用不当很可能引起安全问题，建议对它进行改造。如果您对这些代码不了解，请不要上传到服务器上。

改造方案：

1. 加入用户权限验证。

2. 严格验证上传文件格式，除扩展名验证外，应该加入文件内容检查逻辑。

3. 文件信息保存在数据库里，以查询数据库的方式浏览文件，直接遍历文件夹存在安全隐患。

KindEditor 4.1.1 变更记录：

1. 新增: extraFileUploadParams初始化参数，文件上传时，支持添加别的参数一并传到服务器。
2. 变更: filterMode默认值改成true，根据htmlTags配置过滤HTML代码。
3. Bugfix: [Chrome] 粘贴内容代码中出现white-space:nowrap导致不换行。
4. Bugfix: [IE6] 本地图片上传按钮错位。
5. Bugfix: 开启过滤模式后，预览内容显示KindEditor。

演示：

下载：

文档：

http://www.kindsoft.net/doc.php

SF？

老大现在变的懒了。。懒的告诉大家。更新了哪几个文件。

支持KindEditor， 布依常有.....