FCKEDITOR安全问题

Question

我在一个drupal 6网站上运行了FCKEDITOR 6.x-2.3，一群黑客团队努力查看网站上是否存在安全问题，他们发现FCKEDITOR存在一些漏洞，匿名用户可以使用像这一个这样的上传器将文件上传到服务器。

对于anonymouse用户，我可以访问各种类型，如：

sites/all/modules/fckeditor/fckeditor/editor/filemanager/browser/default/browser.html sites/all/modules/fckeditor/fckeditor/editor/filemanager/browser/default/frmupload.html

上传我的上传文件。有办法解决吗？或者我应该忘记使用FCKEDITOR或任何其他wysiwyg编辑器？

Answer 1

您可以更新您的FCKEditor模块(请查看：http://drupal.org/node/1482442)

或者，您可以使用CKEditor代替FCKEDITOR。请参阅：http://drupal.org/project/ckeditor

使用CKEditor，我也面临过类似的安全问题。我有以下步骤：

这里是更新ckeditor和ckfinder的过程：

1. 更新CKeditor版本6.x-1.13
2. 下载CK Finder最新版本2.3
3. 将ckfinder解压缩在sites/all/模块/cont肋骨/ckeditor/ckfinder中
4. 开放/all/module/contrib/ckeditor/ckfinder/config.php
5. 注释掉CheckAuthentication()函数

​

1. 添加以下两行

​

1. $baseUrl可能因产品而异。
2. 打开/cont肋骨/ckeditor/ckfinder/config.js
3. 增加以下几行：

​

1. 注意:我想请大家准备一组允许的和被拒绝的扩展。

​

另外一个问题是:在sites/default/setings.php文件中添加cookie_domain。