CKEditor/CKFinder升级心得

这几天把一个旧项目中的fckeditor升级为ckeditor 3.2 + ckfinder 1.4.3 组合,下面是一些升级心得:

一、CKFinder的若干问题

1.单独使用 ckfinder从原fckeditor分离出来以后可以单独使用,通常我习惯于在工具栏中添加ckfinder.dll,这样以后要使用ckfinder直接从工具箱拖出来即可.

拖到页面中后,会形成这样一个控件实例:

<CKFinder:FileBrowser ID="FileBrowser1" runat="server"></CKFinder:FileBrowser>

2.上传文件自动重命名 修改ckfinder的源文件,找到Connector\CommandHandlers\FileUploadCommandHandler.cs这个文件,定位到:

string sExtension = System.IO.Path.GetExtension( oFile.FileName );
sExtension = sExtension.TrimStart( '.' );

在下面加一行代码:

sFileName = DateTime.Now.ToString("yyyyMMddHHmmssfff") + "." + sExtension;

即强制把文件名改为时间格式字符串.

3.上传安全问题

3.1 跟fckeditor类似,默认情况下ckfinder是不允许上传的,找到config.ascx这个文件,定位到

public override bool CheckAuthentication()
{
   return false;
}

 在这里加入自己需要的判断逻辑,千万不要直接改成return true;这样相当于免费把自己的服务器变成一个网络硬盘+肉鸡,任何人都可以直接上传任何文件(包括木马),起码也得类似下面这样:

public override bool CheckAuthentication()
{
   return HttpContext.Current.User.Identity.IsAuthenticated;
}

如果您是用membership/role来认证的,上面代码要求用户登录后才能使用ckfinder的上传功能.

3.2 文件扩展名校验

默认情况下,ckfinder几乎能上传任何文件,所以设置允许上传的文件扩展名是必需的,ckfinder采用了黑白名单的做法,即同时可以设置"允许上传的扩展名"及"禁止上传的扩展名",config.ascx中可参考下面这样设置:

ResourceType type;

type = ResourceType.Add("Zip");
...
type.AllowedExtensions = new string[] { "zip" };
type.DeniedExtensions = new string[] {"asp","aspx","jsp","php","ashx","js","html","htm" };
...

这一段设置相当于只允许.zip文件上传,同时禁止.asp,.aspx...之类的服务端文件上传

3.3 MIME类型/ContentType校验

光有扩展名校验是远远不够的,比如在asp时代就有一种经典的攻击方式:

a.先把asp木马文件扩展名改成.jpeg之类(这样就能绕过扩展名检验) b.然后利用其它发包工具(或直接用ckfinder的上传功能),上传"伪jpeg"文件 c.如果网站还支持html代码的留言(或产品编码,个人简介编辑等),写上这样一行代码

<!--inlude file = "xxx.jpeg"-->

这里xxx.jpeg即上传后的"伪jpeg"木马,如果服务端允许包含文件的话,浏览包含这行代码的页面,木马就能运行了!

为了防止这类攻击,必须要在服务端做MIME/ContentType校验,因为文件的扩展名不管改成什么,其内在的MIME/ContentType是不会变的,修改方法:

定位到Settings\ResourceType.cs,找到

public string[] AllowedExtensions;
public string[] DeniedExtensions;

再增加二个数组

public string[] AllowedMIMETypes;
public string[] DeniedMIMETypes;

相应的构造函数也加初始化代码:

AllowedMIMETypes = new string[0];
DeniedMIMETypes = new string[0];

然后再增加一个方法:

public bool CheckMIMEType(string mimeType)
{
    mimeType = mimeType.Trim().ToLower();

    if (DeniedMIMETypes.Length > 0)
    {
	if (Array.IndexOf(this.DeniedMIMETypes, mimeType) >= 0)
	{
	    return false;
	}
    }

    if (AllowedMIMETypes.Length > 0)
    {
	return (Array.IndexOf(this.AllowedMIMETypes, mimeType) >= 0);
    }
    else
    {
	return true;
    }
}

然后定位到Connector\CommandHandlers\FileUploadCommandHandler.cs,找到:

if (!this.CurrentFolder.ResourceTypeInfo.CheckExtension(sExtension))
{
    ConnectorException.Throw(Errors.InvalidExtension);
}

然后加上:

string sFileMIME = oFile.ContentType;
if (!this.CurrentFolder.ResourceTypeInfo.CheckMIMEType(sFileMIME))//检测上传文件的MIME类型
{
    ConnectorException.Throw(Errors.InvalidMIMEType);
}

最后再修改config.ascx,加上MIME类型的黑白名单:

ResourceType type;

type = ResourceType.Add("Zip");
...
type.AllowedExtensions = new string[] { "zip" };
type.DeniedExtensions = new string[] {"asp","aspx","jsp","php","ashx","js","html","htm" };
type.AllowedMIMETypes = new string[] { "application/x-zip-compressed" };
type.DeniedMIMETypes = new string[] {"text/plain" };

这样就相对就安全一些了(当然服务器端还可以进一步做安全处理,不过这个话题再展开就变成"服务器安全设置"专题了,不在本文的讨论范围,暂不深入)

4.上传文件大小限制

默认情况下ResourceType的构造函数里,MaxSize=0即不对上传文件大小做限制,所以只要在config.ascx里加上限制就行了

type = ResourceType.Add("Zip");
...
type.MaxSize = 0;

即把这里的MaxSize改成想要的值即可(以字节为单位计算),注意:ResourceType虽然有MaxSize成员,但其实上传代码中并未对上传文件大小做判断,而是在上传完成后生成缩略图时,才做了一次判断,如果需要在上传文件SaveAs以前就做判断处理,自行加一条if语句,比较oFile.ContentLength与MaxSize即可

5.上传后缩略图无法正常显示

这是ckFinder在windows系统中的一个小bug,定位到Settings\Thumbnails.cs,找到public string GetTargetDirectory()方法,改成下面这样:

if (Dir.Length == 0 || Dir.Substring(0,1)!="/") //如果Dir为空,或者只是相对路径
{
	return HttpContext.Current.Server.MapPath(Url);
}
else
{
	if (Dir.IndexOf(":\\") == -1)//如果不是物理路径
	{
	    return HttpContext.Current.Server.MapPath(Dir);
	}
	else
	{
	    return Dir;
	}
}

6.动态指定上传路径

默认情况下无法用cs代码修改config.ascx中的BaseUrl设置,因为其后端代码ConfigFile中并没有提供修改BaseUrl的方法,这里我借用了fckeditor以前的用法:利用session来动态处理

public string DynamicBaseUrl
{            
    get
    {
	object _baseUrl = HttpContext.Current.Session["CKFinder:DynamicBaseUrl"];
	if (_baseUrl == null || string.IsNullOrEmpty(_baseUrl.ToString())) 
	{
	    _baseUrl = "/ckfinder/userfiles/";
	}
	this.BaseUrl = _baseUrl.ToString();
	return this.BaseUrl;
    }
}

如上,在Settings\ConfigFile.cs中增加一个属性,让其从session中取值,然后再把config.ascx中的BaseUrl改成下面这样

//BaseUrl = "/ckfinder/userfiles/";
BaseUrl = DynamicBaseUrl;

最后在嵌入ckFinder的页面中类似这样处理:

protected void Page_Load(object sender, EventArgs e)
{
    Session["CKFinder:DynamicBaseUrl"] = "/upload/";
}

7.CKfinder免费版本如何去掉“那啥”的提示

打开core\js\ckfinder_ie.js,找到 {en.call(window,qo);},改成{/*en.call(window,qo);*/}即可

二、与CKeditor的整合

1.CKeditor的设置

window.onload = function () {
    CKEDITOR.replace("editor1", {
	filebrowserBrowseUrl: '/ckfinder/ckfinder.html', //启用浏览功能
	filebrowserImageBrowseUrl: '/ckfinder/ckfinder.html?Type=Image',
	filebrowserFlashBrowseUrl: '/ckfinder/ckfinder.html?Type=Flash',
	filebrowserUploadUrl: '/ckfinder/core/connector/aspx/connector.aspx?command=QuickUpload&type=Zip',
	filebrowserImageUploadUrl: '/ckfinder/core/connector/aspx/connector.aspx?command=QuickUpload&type=Image',
	filebrowserFlashUploadUrl: '/ckfinder/core/connector/aspx/connector.aspx?command=QuickUpload&type=Flash'
    });
}

这样就可以了,需要说明的"ckfinder.html?Type=Image"上的Type=XXX,即对应CKFinder中Config.ascx的ResourceType设置,而且ResourceType的名称不能用中文名,否则在快速上传时无法上传到服务端。(很多地方是在html中以js方式接收参数的,改成中文后会导致乱码,从而无法正确定位目录,熟悉js的朋友如果想让其支持中文Type名,技术上讲应该是可以修改实现的)

2.与Asp.Net默认安全性的冲突处理

可参见上一篇博文,不再重复

最后:CKFinder需要Session/ViewState,所以如果您的Asp.Net项目中禁用了Session或ViewState,可能会无法正常运行,解决办法要么启用Session/ViewState,要么自行修改CKFinder源代码

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Core Net

ASP.NET Core 2.1 : 十四.静态文件与访问授权、防盗链

我的网站的图片不想被公开浏览、下载、盗链怎么办?本文主要通过解读一下ASP.NET Core对于静态文件的处理方式的相关源码,来看一下为什么是wwwroot文件...

1722
来自专栏逸鹏说道

Linux 部署ASP.NET SQLite 应用 的坎坷之旅 附demo及源码

Linux 部署ASP.NET SQLite 应用 的坎坷之旅。文章底部 附示例代码。 有一台闲置的Linux VPS,尝试着部署一下.NET 程序,结果就踏上...

3963
来自专栏恰童鞋骚年

设计模式的征途—19.命令(Command)模式

在生活中,我们装修新房的最后几道工序之一是安装插座和开关,通过开关可以控制一些电器的打开和关闭,例如电灯或换气扇。在购买开关时,用户并不知道它将来到底用于控制什...

692
来自专栏Bug生活2048

.net core项目实战之基于Restful API+Swagger项目搭建

然后右击你的项目,在属性中,勾选下生成XML文档文件,Swagger会自动解析对应的XML进行匹配。

1381
来自专栏木宛城主

基于Socket的网络聊天室编程(第一版)

一:什么是套接字 在网络编程中最常用的方案便是Client/Server (客户机/服务器)模型。在这种方案中客户应用程序向服务器程序请求服务。一个服务程序通常...

2905
来自专栏极乐技术社区

小程序支付详解+源码(客户端+服务端)

小程序的支付调通,和大家分享下(坑) 包括小程序端、java服务器端 和其他方式的微信支付方式区别不大,也都需要经过统一下单、支付结果通知(回调),具体流程如...

2485
来自专栏walterlv - 吕毅的博客

使用 Task.Wait()?立刻死锁(deadlock)

发布于 2017-10-27 15:54 更新于 2018-04...

1041
来自专栏NetCore

【翻译】在Visual Studio中使用Asp.Net Core MVC创建第一个Web Api应用(二)

运行应用 In Visual Studio, press CTRL+F5 to launch the app. Visual Studio launches a...

2408
来自专栏ASP.NET MVC5 后台权限管理系统

ASP.NET MVC5+EF6+EasyUI 后台管理系统(66)-MVC WebApi 用户验证 (2)

前言: 回顾上一节,我们利用webapi简单的登录并进行了同域访问与跨域访问来获得Token,您可以跳转到上一节下载代码来一起动手。 继续上一篇的文章,我们...

4028
来自专栏运维一切

laravel自定义错误页面 原

app\Exceptions\handler.php 在render的时候就携带了这个异常

1223

扫码关注云+社区

领取腾讯云代金券