1
wangkun025 2020-11-21 19:55:19 +08:00
我用 CKEditor 比较多。
|
2
opengps 2020-11-21 20:03:26 +08:00
说点别的:
能上传本地图片本身是个风险点。从被机器扫描的网站路径看,各大主流的富文本编辑器,上传入口是个重灾区,我当年 blog 部分被脱库过一次,就是通过类似的上传入口进来的 |
4
iConnect 2020-11-21 20:27:11 +08:00 via Android
完全满足以上需求的,一个都没有。你要的部分功能必须要自己魔改过,才行
|
5
myevery OP @opengps 哦哦,网站不让上传照片也不太好,都用链接还是比较麻烦的。我的要求倒是不太高,先能实现应用就好。
被拖库啊,这确实比较严重了! |
7
opengps 2020-11-21 20:44:30 +08:00
@veike 富文本编辑器自带的上传,不验证登录状态,自带的往往是很简单的后缀名过滤,这显然不能避免攻击。比如说,exe 改后缀为 png,照样通过命令等方式按照 exe 运行
在这里给楼主回帖,不是否认上传功能,只是重点点明下这里需要注意防护。比如检查下文件上传入口是否进行文件头级别的验证等逻辑 |
8
zerofancy 2020-11-21 20:56:35 +08:00
手机为何需要编辑富文本?有点费力不讨好。
除此之外 wangEditor 应该满足了。 |
9
Tlin 2020-11-21 21:13:25 +08:00
自己写一个,你这点可以实现了😁😁😁
|
10
340244120w 2020-11-21 21:30:40 +08:00 via iPhone
@opengps 百度编辑器吧。。。他那个文件类型不是后端从文件名判断的,而是前端判断好后,作为参数传给后端。这就坑了
|
11
eudore 2020-11-22 00:01:05 +08:00
wangEditor 代码比较简单也原生 js 无依赖
|
12
bokchoys 2020-11-22 09:49:19 +08:00
editormd
|