整合營銷服務商

          電腦端+手機端+微信端=數據同步管理

          免費咨詢熱線:

          HTML編輯器 實現CTRL+V粘貼圖片并上傳、WORD粘貼帶圖片

          TML編輯器粘貼word圖片,web編輯器粘貼word圖片,web富文本編輯器粘貼word,前端編輯器粘貼word內容,前端web編輯器粘貼word,支持快捷鍵操作(Ctrl+V),

          粘貼后word圖片自動上傳到服務器中,然后自動將圖片和文字HTML添加到編輯器中。

          用戶這邊日常的編輯工作基本上都是在word中完成的,用戶把內容編輯好后希望能夠直接一鍵(通過快捷鍵)粘貼到網站后臺新聞發布頁面的編輯器中,這樣能夠節省不少時間。提高工作效率,信息發布效率。

          用戶發布新聞的時候是從word里面復制圖片和文字,然后將word圖文內容粘貼到web富文本編輯器中,希望能夠將word的圖片自動上傳到服務器中,服務器地址能夠自定義,后端的話需要支持任意開發語言,比如ASP,ASP.NET,JSP,PHP,PYTHON等。只要是基于標準HTTP協議的都要支持。如果能夠不裝控件最好,

          實際上裝不裝都無所謂,只要好用。

          1.下載示例:

          http://www.ncmem.com/webapp/wordpaster/versions.aspx


          2.復制WordPaster插件目錄


          3.引入插件文件

          注意:不要重復引入jquery,如果您的項目已經引入了jq,則不用再引入jq-1.4


          4.在工具欄中增加插件按鈕


          6.初始化控件

          注意:

          1.如果接口字段名稱不是file,請配置FileFieldName。ueditor接口中使用的upfile字段


          參考:http://www.ncmem.com/doc/view.aspx?id=c3ad06c2ae31454cb418ceb2b8da7c45

          2.如果接口返回JSON,請配置ImageMatch


          參考:http://www.ncmem.com/doc/view.aspx?id=07e3f323d22d4571ad213441ab8530d1

          3.如果接口返回的圖片地址沒有域名,請配置ImageUrl


          參考:http://www.ncmem.com/doc/view.aspx?id=704cd302ebd346b486adf39cf4553936

          4.如果接口有權限驗證(登陸驗證,SESSION驗證),請配置COOKIE。或取消權限驗證。

          參考:http://www.ncmem.com/doc/view.aspx?id=8602DDBF62374D189725BF17367125F3


          效果

          讓我們看看如下這個web應用示例:

          <html>
           <meta http?equiv="Content?Security?Policy"
           content="script?src 'nonce?...' 'unsafe?eval'">
           <div id="template_target"></div>
           <script type="application/template" id="template">
           Hello World! 1 + 1 = {{ 1 + 1 }}
           </script>
           Your search is <?php echo $_GET['q']; ?>
           <script nonce="...">
           let template = document.getElementById('template');
           template_target.innerHTML = template.innerText.replace(/{{(.?)}}/g,eval)
           </script>
          </html>
          

          以上這段簡單的HTML代碼可能反映了現在滲透測試人員經常碰到的模板化Web應用。某些模板內容存儲在Web頁面中,然后再轉換為HTML代碼的一部分。上段代碼中含有id為template的HTML元素內容先被讀取,然后再執行{{}}括號內的內容,最后在某個單獨HTML元素中呈現出來。

          Hello World! 1 + 1 = 2
          Your search is ........... 
          

          其次,這段代碼應用程序會在頁面上打印URL中的參數值。這顯而易見是一個XSS漏洞,但由于CSP(內容安全策略)的存在,攻擊者并不能直接執行javascript。雖然直接運行javascript的路被堵死,但是我們可以找到其他繞過方法。

          乍一看,貌似eval函數是一個可以利用的點,我們或許可以直接插入某些特制代碼,讓eval函數去執行。

          為了實現這點,我們必須插入HTML元素中id為template的代碼。但在我們插入語句的前面已有id為template的HTML元素,而document.getElementById('template')只會去獲取第一個HTML元素,并不是我們所輸入的語句。

          此刻,我們需要換個角度,看看瀏覽器是否能出現“意外”,以前就出現過很多瀏覽器的異常解析所導致的XSS攻擊。我把所有能使用的tag都收集起來進行測試,看看是否有驚喜。測試代碼如下:

          <div id="template">First Tag</div>
           {% for tag in tag_list %}
           <{{tag}} id="template">{{tag}}</{{tag}}>
           {% endfor %}
          <script>console.log(document.getElementById('template'));</script>
          

          當程序運行完畢時,我得到一個奇怪的結果:當輪到<html>時,頁面結構似乎發生了大變,此時已不再是<div>排在前面。讓我們看下當插入<html id="template">時的變化:

          此時<html>已排在文檔頂部(在我所測試的所有瀏覽器中都是如此!),現在getElementById('template')將獲取<html>中的惡意數據,而不是<div>的內容。

          只需簡單的?q=<html id="template">{{ alert("xss") }}</html>就可進行攻擊

          最終,由于瀏覽器這個“莫名其妙”的特性,我們繞過了CSP成功進行了XSS攻擊!

          本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場

          來源:https://nosec.org/home/detail/2860.html

          原文:https://pagedout.institute/download/PagedOut_001_beta1.pdf(該PDF文檔的第62頁

          白帽匯從事信息安全,專注于安全大數據、企業威脅情報。

          公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。

          為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。

          PHP 動態頁面轉換為靜態 HTML 頁面的主要意義在于提高網站的性能和可用性。下面是一些具體的好處:

          1. 提高網站性能:靜態 HTML 頁面可以直接從磁盤或緩存中加載,無需動態生成,因此可以顯著減少服務器響應時間和頁面加載時間,從而提高網站的性能和響應速度。
          2. 改善用戶體驗:由于靜態 HTML 頁面可以更快地加載,因此用戶可以更快地瀏覽網站并獲得所需的信息,從而提高用戶體驗和滿意度。
          3. 降低服務器負載:靜態 HTML 頁面可以從緩存中加載,無需執行 PHP 代碼和查詢數據庫,因此可以減少服務器負載,提高網站的穩定性和可用性。
          4. 提高搜索引擎優化:搜索引擎更喜歡快速加載和靜態內容的網頁。因此,將 PHP 動態頁面轉換為靜態 HTML 頁面可以提高網站的搜索引擎排名和流量。

          然而,將 PHP 動態頁面轉換為靜態 HTML 頁面并不適用于所有類型的網站,特別是對于需要動態生成內容和實時更新的網站,如電子商務網站、新聞網站等,這種轉換可能會導致信息更新不及時,從而影響網站的可用性和用戶體驗。因此,需要根據實際需求和情況來選擇是否需要將 PHP 動態頁面轉換為靜態 HTML 頁面。

          生成HTML文件

          要生成 HTML 文件,可以使用 PHP 中的文件處理函數和輸出函數來創建一個新的 HTML 文件并將其寫入磁盤。下面是一個簡單的示例:

          <?php
          // 創建一個新的 HTML 文件
          $html = '<html><head><title>My HTML File</title></head><body><p>Hello, world!</p></body></html>';
          $file = fopen('myhtmlfile.html', 'w');
          
          // 將 HTML 內容寫入文件
          fwrite($file, $html);
          
          // 關閉文件
          fclose($file);
          
          // 輸出成功信息
          echo 'HTML 文件已經生成!';
          ?>

          在上面的示例中,首先創建了一個包含 HTML 代碼的字符串變量 $html。然后使用 fopen()函數創建一個新的文件,并將其設置為寫入模式 'w'。然后使用 fwrite() 函數將 HTML 內容寫入文件。最后使用 fclose() 函數關閉文件。生成的文件名為 myhtmlfile.html,它將保存在與 PHP 腳本相同的目錄中。

          請注意,上述示例是一個簡單的示例,用于說明如何生成 HTML 文件。在實際應用中,您可能需要更復雜的 HTML 代碼,需要使用循環或條件語句生成動態內容,并使用樣式表或 JavaScript 對 HTML 進行美化和交互。

          動態轉靜態——HTML 緩存

          將 PHP 動態頁面進行 HTML 緩存可以顯著提高網站性能,因為它可以減少服務器請求和頁面加載時間。以下是一些用于將 PHP 動態頁面進行 HTML 緩存的常見方法:

          1.使用 PHP 自帶的輸出緩存機制 ob_start() 和 ob_get_contents() 函數。

          <?php
          // 啟動輸出緩存
          ob_start();
          
          // 輸出動態內容
          echo 'Hello, world!';
          
          // 將輸出內容保存到緩存文件
          file_put_contents('cached_page.html', ob_get_contents());
          
          // 清空輸出緩存并關閉
          ob_end_clean();
          ?>
          

          在上述示例中,使用 ob_start() 函數啟動 PHP 輸出緩存,然后使用 echo 輸出動態內容。然后,使用 ob_get_contents() 函數將輸出內容保存到緩存文件中,并使用 file_put_contents() 函數寫入緩存文件。最后,使用 ob_end_clean() 函數清空輸出緩存并關閉。

          2.使用第三方緩存庫如 Memcached 或 Redis。

          這些緩存庫可以在服務器內存中存儲緩存頁面,并且能夠通過一個唯一的鍵名來訪問緩存頁面,從而加快頁面訪問速度。具體實現可以參考對應的文檔或者庫的使用說明。

          3.使用 HTTP 緩存頭信息。

          這是一種在瀏覽器和服務器之間緩存頁面的機制,通過設置響應頭信息來控制頁面緩存。可以通過設置 Expires、Cache-Control、Last-Modified 和 ETag 等響應頭信息來控制頁面的緩存,從而減少對服務器的請求。具體實現可以參考 HTTP 協議規范或者使用對應的 PHP 框架提供的緩存機制。

          無論使用哪種方法,都需要謹慎考慮緩存時間和更新機制,以確保緩存頁面在需要時被及時更新,并避免緩存過期或出現臟數據等問題。


          主站蜘蛛池模板: 无码精品人妻一区二区三区AV| 99久久精品日本一区二区免费| 中文字幕人妻第一区| 无码精品人妻一区二区三区免费看| 夜夜添无码一区二区三区| 亚洲综合一区二区精品导航| 亚洲乱码一区二区三区国产精品| 亚洲AV无码一区二区三区电影| 成人精品视频一区二区三区| 亚洲乱码日产一区三区| 中文字幕亚洲综合精品一区| 亚洲欧洲无码一区二区三区| 国产成人一区二区动漫精品 | 国产精品毛片a∨一区二区三区| 一区二区三区在线播放| 国产主播一区二区| 亚洲AV成人精品一区二区三区| 一区 二区 三区 中文字幕| 日本一区午夜艳熟免费| 国产精品自拍一区| 区三区激情福利综合中文字幕在线一区亚洲视频1 | 无码日韩精品一区二区三区免费 | 日韩精品人妻av一区二区三区| 不卡无码人妻一区三区音频| 在线中文字幕一区| 亚州国产AV一区二区三区伊在| 日本不卡一区二区三区| 久久久久久人妻一区二区三区| 东京热无码av一区二区| 亚洲高清毛片一区二区| a级午夜毛片免费一区二区| 综合无码一区二区三区四区五区| 亚洲福利精品一区二区三区| 色婷婷综合久久久久中文一区二区| 日本免费一区二区三区最新vr| 亚洲AV美女一区二区三区| 国产成人一区二区三区高清| 色婷婷综合久久久久中文一区二区| 国产精品久久亚洲一区二区| 91一区二区视频| 91久久精一区二区三区大全|