最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。
为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa...
分类:
其他好文 时间:
2014-11-06 17:27:12
阅读次数:
389
今天往MVC中加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="这是测试这...")中检测到有潜在危险的Request.Form值。说明:请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要...
分类:
Web程序 时间:
2014-11-06 09:18:13
阅读次数:
162
今天发现数据库中存的值为这样的东西.<p style="margin: 0px; padding: 5px 10px; border: 0px none; line-height: 28px; font-size: 14px; font-family: simsun, Arial, ...
分类:
其他好文 时间:
2014-11-05 19:13:05
阅读次数:
255
针对文本框中有HTML代码提交时,mvc的action默认会阻止提交,主要是出于安全考虑。如果有时候需求是要将HTML代码同表单一起提交,那么这时候我们可以采取以下两种办法实现:1、给Controller的Action方法打上标记 [ValidateInput(false)](针对特定的action...
分类:
Web程序 时间:
2014-11-04 18:51:30
阅读次数:
199
1.压缩kindeditor 把kindeditor文件拷贝到WebRoot下(酌情删除其他语言asp php...)2.把demo.jsp内容拷贝到WebRoot下相应jsp文件3.注意修改一下Javascript你们的path json路径(一般为..替换kindeditor)备注:Tomcat...
分类:
其他好文 时间:
2014-11-04 14:38:22
阅读次数:
184
一 下载编译freetype库
1 下载
地址:http://www.freetype.org/
得到压缩文件:freetype-2.5.3.tar.gz
2 解压:
直接解压,得到目录freetype-2.5.3
3 编译:
用vs2010打开:(路径)\freetype-2.5.3\builds\windows\vc2010\freetype.sln
...
分类:
其他好文 时间:
2014-11-03 10:15:47
阅读次数:
149
关于富文本客户端使用1、采用eWebEditor,不能在项目中使用其它富文本编辑器2、富文本编辑器中所有上传的附件,比如,图片,动画,视频等,均要求直传到七牛云的云存储中,不能上传到TOMCAT上或者NGINX上。由此引出,如何让JAVA服务器生成、派发TOKEN,如何使用HTML页面直传给七牛云。...
分类:
其他好文 时间:
2014-11-01 08:35:26
阅读次数:
212
一不小心接触到Simditor,瞬间被它优美极简的界面所吸引。Simditor是Tower开源的所见即所得的在线富文本编辑器。Simditor的理念是保持简单,避免过度的功能,每一个特性都追求极致的用户体验。使用方法1、在你的html页面中引用如下文件...
分类:
其他好文 时间:
2014-10-27 23:03:58
阅读次数:
1460
# 一、jquery.qeditor简介 ## 1、链接地址 - :[项目git地址][1] - :[中文版介绍][2] - :[测试Demo][3] ## 2、其他富文本编辑器的优缺点 首先,正如你在找的很多富文本编辑器,功能有很多,也很复杂,但是很多功...
分类:
Web程序 时间:
2014-10-25 21:38:03
阅读次数:
877
pasteimg是一款可以在浏览器中实现图片粘贴的jQuery插件,兼容Chrome、Firefox、IE11以及其他使用这些内核的浏览器,比如,国内著名的360浏览器。 pasteimg可以识别浏览器中直接复制的图片,也可以识别复制的富文本中的图片。仅仅可以识别在浏览器中复制的内容,操作系统...
分类:
Web程序 时间:
2014-10-25 11:52:02
阅读次数:
164
