CKEditor 4.4.6 发布了,该版本对底层的编辑器核心进行了一些显著的改进,包含内容选择和样式系统相关的问题,修复了各种 bug,同时包含一个 HTML 解析中的安全问题。所以强烈建议升级!
CKEditor 4.4.6 修复了一个 HTML 解析器的 XSS 漏洞,该漏洞是由 Maco Cortes 报告的。漏洞导致可以在 CKEditor 源码区域执行 XSS,可通过如下步骤重现该漏洞:
1. 切换 CKEditor 到源码模式2. 粘贴一段由攻击者提供的结构不完整的 HTML 代码到源码编辑区域3. 切换回可视化编辑模式
尽管该场景不常见,但我们仍然建议你升级到最新的版本。
尽管这是一个小的发行版本,但是我们还是对 CKEditor 的内核做了一些显著的改进,例如 #12489, #12491 和 #12630 改进了内容的选择; #12621, #12688 和 #12403 对样式子系统做了提升,修复一些嵌套 <span> 标签中移除内建样式和空行的问题。
CKEditor 4.4.6 包含两个新特性:Allowed content rules 可用于 content filtering 定义,现在接受名称中带斜杠;此外 HTML5 的 <main> 元素添加到 CKEDITOR.dtd.
CKEDITOR.dtd
完整的改进记录请看 What's New?
下载 CKEditor 或者 更新你的安装 ,也可以使用 package manager 来安装。
评论删除后,数据将无法恢复
CKEditor 4.4.6 安全补丁版本发布
CKEditor 4.4.6 发布了,该版本对底层的编辑器核心进行了一些显著的改进,包含内容选择和样式系统相关的问题,修复了各种 bug,同时包含一个 HTML 解析中的安全问题。所以强烈建议升级!
安全问题修复
CKEditor 4.4.6 修复了一个 HTML 解析器的 XSS 漏洞,该漏洞是由 Maco Cortes 报告的。漏洞导致可以在 CKEditor 源码区域执行 XSS,可通过如下步骤重现该漏洞:
1. 切换 CKEditor 到源码模式
2. 粘贴一段由攻击者提供的结构不完整的 HTML 代码到源码编辑区域
3. 切换回可视化编辑模式
尽管该场景不常见,但我们仍然建议你升级到最新的版本。
编辑器底层内核的提升
尽管这是一个小的发行版本,但是我们还是对 CKEditor 的内核做了一些显著的改进,例如 #12489, #12491 和 #12630 改进了内容的选择; #12621, #12688 和 #12403 对样式子系统做了提升,修复一些嵌套 <span> 标签中移除内建样式和空行的问题。
新特性
CKEditor 4.4.6 包含两个新特性:Allowed content rules 可用于 content filtering 定义,现在接受名称中带斜杠;此外 HTML5 的 <main> 元素添加到
CKEDITOR.dtd.完整的改进记录请看 What's New?
下载
下载 CKEditor 或者 更新你的安装 ,也可以使用 package manager 来安装。