kindeditor保存到数据库数据被转义,但在页面上又被解析出来

最新推荐文章于 2025-04-27 09:32:52 发布
最新推荐文章于 2025-04-27 09:32:52 发布
阅读量3.7k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 前端 文章标签: kindeditor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rogerjava/article/details/82658998

在做XSS的安全校验的时候,发现通过kindeditor,保存在数据库中是被转义的字符
例如:

<svg onload="alert(/XSS/)"></svg>

被转义成

&lt;svg onload="alert(/XSS/)"&gt;&lt;/svg&gt;

但是在页面上编辑的时候,重新通过kindeditor渲染后,在页面被解析成
这里写图片描述

查看源码,发现对应的数据为:
这里写图片描述

被正常解析了!!!

最后发现是我这边用了textarea的原因,textarea会自动对自身的内容进行转义符的解析
页面代码如下:
这里写图片描述

将textarea改成div即可
这里写图片描述

这样就能够正常展现了
这里写图片描述

【ThinkPHP学习】ThinkPHP自动转义存储富文本编辑器内容导致读取出错
Love.Hope.Faith
08-07 4703
ThinkPHP在内容存储的过程中自动对内容进行了转义处理,导致了数据库中存储的内容变成了转义后的内容,再次读出来的时候HTML会自动将原本属于标签的内容转义成为正文文本。
JAVA中使用kindeditor实现在线编辑文档
11-21
在提交时,从textarea的value属性获取内容,然后通过Ajax或表单提交到后端,保存到相应的数据表中。 6. **安全考虑**:为防止XSS攻击,确保在保存HTML内容前进行安全过滤或转义KindEditor也有过滤HTML的选项,但...
kindeditor特殊符号被转义
01-14
kindeditor特殊符号被转义 kindeditor 编辑器添加图片、flash,还有视频时路径出错
KindEditor 4.1.11:全面的开源HTML可视化编辑器
最新发布
weixin_42601134的博客
04-27 1025
kindeditor是一款轻量级的Web HTML编辑器,由台湾开发者叶贤德于2008年发起。其定位在于提供一个简单易用、功能丰富的编辑环境,特别是在中文用户群体中拥有广泛的流行度。kindeditor4.1.11.zip是其一个较早期的版本,它在当时迅速填补了市场上对于一个轻量级、中文友好且功能齐全的编辑器的需求空缺。创建一个kindeditor插件的步骤可以分为以下几部分:插件结构定义:首先定义插件的入口文件和依赖关系,比如加载所需的CSS和JavaScript文件。初始化插件。
KINDEDITOR取值并写入数据库的操作
weixin_30415801的博客
06-24 622
首先引入KINDEDITOR <link rel="stylesheet" href="/kindeditor/themes/default/default.css" /> <script charset="utf-8" src="/kindeditor/kindeditor-all.js"></script> ...
解决kindeditor保存数据显示在页面却出问题
java开发指南博客 【转载】
07-20 486
这个问题真的好纠结,数据保存数据库后读出来的时候显示在页面上的却是一大段含有html标签的文字。整了好久代码明明就没错误显示出来怎么就成这样子呢,自己气的差点要吐血。后来才知道原来是struts标签的问题。普通的html标签是不会有这个问题的。 解决的办法很简单那就是在struts的显示标签加上escape="false" 内容显示就OK了 很简单吧...
word文档的图片怎么保存KindEditor
yjjatqihc的博客
12-08 93
如何做到 ueditor批量上传word图片? 1、前端引用代码 <!DOCTYPEhtmlPUBLIC"-//W3C//DTD XHTML 1.0 Transitional//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <htmlxmlns="http://www.w3.org/1999/xhtml"> <head> <metahttp-equiv="Co...
ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法
10-25
富文本编辑器产生的内容通常包含大量的HTML标签,如果这些标签被自动转义,那么存储到数据库中的就不再是富文本格式,而是纯文本标签字符,导致读取出来时无法正确解析为HTML。 2. 富文本编辑器内容的存储与读取: ...
【保障编辑内容安全】:KindEditor数据备份、迁移及XSS攻击防御策略
首先,强调了KindEditor的安全配置及其在保障Web内容安全中的作用。接着,本研究深入分析了数据备份的最佳实践、迁移过程中的数据完整性保障措施以及恢复策略的实施。第三章详细讨论了XSS攻击的类型、特点、防御策略...
JSP版本kindEditor:全屏预览富文本框
当Web服务器接收到客户端请求时,JSP页面被转换成Servlet,然后由Java虚拟机执行并返回给客户端。JSP页面通常具有`.jsp`扩展名,可以很方便地和JavaBean、JDBC、EL表达式、JSTL标签库等技术整合使用。 #### 3. 可...
html自动转 lt,Kindeditor修改插入的代码时&lt;等字符会被自动转义成<
weixin_39865277的博客
05-30 711
在使用kindeditor时经常会用到在里面插入代码的功能但是等你再编辑的时候这些代码就会改变不能再编辑下面分享下我的处理方法首先在添加文章的时候把代码里面的 空格等转成 < > 这样在前台显示的时候就可以直接输出你的代码啦这时你会发现到后台编辑的时候这些代码可能会看不到查看源代码后才发现< >这些代码都不见啦都被kindeditor 转成啦 <>这个是...
dede更换成kindeditor后栏目内容无法保存怎么办
zxy840552216的博客
07-14 142
dede更换成kindeditor后栏目内容无法保存 kindeditor编辑器是非常优秀的编辑器,连织梦官网都提供了这样的编辑器插件下载,但更换了这样的 一款编辑器后,栏目内容却无法保存。 通过以下的修改可以解决dede更换成kindeditor后栏目内容无法保存的问题: 打开/include/inc/inc_fun_funAdmin.php文件,找到以下代码: 1 allowFileManager : {$allowFileManager} 将这句代码改成如
django中,kindeditor存到数据库的html,前台html标签被自动转义的解决办法
weixin_34257076的博客
07-21 362
2019独角兽企业重金招聘Python工程师标准>>> ...
Thinkphp kindeditor 内容转义
weixin_30240349的博客
04-06 154
参考了:【解决】ThinkPHP整合Html编辑器时出现自动转义的问题 遇到问题也是保存数据库中的内容,会转义成“\&quot;” 使用 $data['content'] = stripslashes(htmlspecialchars_decode($_POST['content'])); 可以将"\&quot;"的转义处理好。 转载于:https://www.c...
kindeditor 内容存入数据库后,获取显示的html内容缺少
东小记的博客
09-13 1494
只需修改kindereditor-all.js中的  var re = /(\s*)&lt;(\/)?([\w\-:]+)((?:\s+|(?:\s+[\w\-:]+)|(?:\s+[\w\-:]+=[^\s"'&lt;&gt;]+)|(?:\s+[\w\-:"]+="[^"]*")|(?:\s+[\w\-:"]+='[^']*'))*)(\/)?&gt;(\s*)/g; 为: var re...
关于web程序中使用KindEditor数据库插入带有格式的数据时出现的问题
weixin_30578677的博客
10-25 157
最近做一个项目,需要对输入的文字在存入数据库之前进行文本格式编辑,于是我用到了KindEditor,当然怎么用在asp.net页面中,这里就不过多叙述了。 主要是遇到在将赋予格式的文本插入数据库时遇到问题(说什么客户端将带有样式的文本插入数据库有requset.form漏洞)现将我完整的解决放到写出来供大家参考 1.在web.config文件中添加<system.web><c...
Kindeditor 编辑器POST提交的时候会出现符号被转换
weixin_34234823的博客
04-25 569
Kindeditor编辑器输入符号单引号,双引号,斜杠 都会被转义   解决办法 $date['content']=$this-&gt;textString($_POST['content']); public function textString($string){ $string = str_replace("\'","'",$string); ...
Kindeditor 修改内容时如何不让 及 <> 被自动转义
weixin_33757911的博客
05-12 904
$html = str_replace('&nbsp;', '&amp;nbsp;', $html); $html = str_replace('&gt;', '&amp;gt;', $html); $html = str_replace('&lt;', '&amp;lt;', $html); 转载于:https://www....
kindeditor数据特殊字符转义处理上传数据库与前端回显的前后端与数据库代码,jsp页面数据库mysql
05-27
前端代码: 1. 使用JavaScript中的encodeURIComponent()函数将特殊字符转义,将编辑器中的内容传递给后端: ```javascript var content = encodeURIComponent(editor.html()); // editor为KindEditor实例 ``` 2. 将转义后的内容通过Ajax请求发送给后端: ```javascript $.ajax({ type: "POST", url: "save.jsp", data: "content=" + content, success: function(data) { // 请求成功后的操作 } }); ``` 后端代码: 1. 在JSP页面中获取前端传递的数据,使用Java中的URLDecoder.decode()函数将数据进行解码: ```java String content = request.getParameter("content"); content = URLDecoder.decode(content, "UTF-8"); ``` 2. 将解码后的内容保存到MySQL数据库中: ```java Connection conn = null; PreparedStatement ps = null; try { conn = DriverManager.getConnection(url, username, password); String sql = "INSERT INTO table_name (content) VALUES (?)"; ps = conn.prepareStatement(sql); ps.setString(1, content); ps.executeUpdate(); } catch (SQLException e) { e.printStackTrace(); } finally { try { if (ps != null) { ps.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } ``` 3. 在JSP页面中从MySQL数据库中读取数据,使用Java中的StringEscapeUtils.escapeHtml()函数将数据进行转义,防止XSS攻击: ```java Connection conn = null; PreparedStatement ps = null; ResultSet rs = null; try { conn = DriverManager.getConnection(url, username, password); String sql = "SELECT content FROM table_name WHERE id=?"; ps = conn.prepareStatement(sql); ps.setInt(1, id); rs = ps.executeQuery(); if (rs.next()) { String content = rs.getString("content"); content = StringEscapeUtils.escapeHtml(content); // 将转义后的内容传递给前端 } } catch (SQLException e) { e.printStackTrace(); } finally { try { if (rs != null) { rs.close(); } if (ps != null) { ps.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } ``` 其中,StringEscapeUtils是Apache Commons Lang库中的一个类,需要导入该库才能使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值