CKEditor 4.4.6 安全补丁版本发布

oschina
 oschina
发布于 2014年11月26日
收藏 7

CKEditor 4.4.6 发布了,该版本对底层的编辑器核心进行了一些显著的改进,包含内容选择和样式系统相关的问题,修复了各种 bug,同时包含一个 HTML 解析中的安全问题。所以强烈建议升级!

安全问题修复

CKEditor 4.4.6 修复了一个 HTML 解析器的 XSS 漏洞,该漏洞是由 Maco Cortes 报告的。漏洞导致可以在 CKEditor 源码区域执行 XSS,可通过如下步骤重现该漏洞:

1. 切换 CKEditor 到源码模式
2. 粘贴一段由攻击者提供的结构不完整的 HTML 代码到源码编辑区域
3. 切换回可视化编辑模式

尽管该场景不常见,但我们仍然建议你升级到最新的版本。

编辑器底层内核的提升

尽管这是一个小的发行版本,但是我们还是对 CKEditor 的内核做了一些显著的改进,例如 #12489, #12491#12630 改进了内容的选择; #12621, #12688#12403 对样式子系统做了提升,修复一些嵌套 <span> 标签中移除内建样式和空行的问题。

新特性

CKEditor 4.4.6 包含两个新特性:Allowed content rules 可用于 content filtering 定义,现在接受名称中带斜杠;此外 HTML5 的 <main> 元素添加到 CKEDITOR.dtd.

完整的改进记录请看 What's New?

下载

下载 CKEditor 或者 更新你的安装 ,也可以使用 package manager 来安装。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:CKEditor 4.4.6 安全补丁版本发布
加载中

最新评论(4

惊鸟
惊鸟
东西不错,试过一段时间,但是就是爱不起来
sense
sense
我一直在使用,很好用
产品哥
产品哥
这玩意是我看见过傻逼Bug最多的组件,没有之一。造就不用它。
小99
小99
都不用他了
返回顶部
顶部