如何在 CKeditor 上传中向 POST 值添加字段
How to add a field to POST values in CKeditor upload
我使用 django 和 ckeditor 为 TextEdits 提供所见即所得的味道。我想使用 CKEditor 文件上传功能(在文件浏览器/图像对话框中(,但 CKEditor 上传图像的 POST 只包含文件数据。
这是CSRF检查的问题。我在 CKEditor 文档中找不到一个地方来更改文件上传的 POST 数据,在 POST 数据中添加 django 的csrf_token。
作为一种解决方法,我可以更改 filebrowserUploadUrl 参数以在上传 URL 中包含 csrf 数据,使用上传视图的@csrf_exempt,并检查请求。获取参数以检查 csrf。但是这个解决方案安全吗?
无论如何,如果有人知道如何直接在 CKEditor 文件上传 POST 数据中包含 csrf 令牌,我非常感兴趣......
您可以注册 dialogDefinition 事件,并完全重写上传选项卡,因此:
CKEDITOR.on('dialogDefinition', function (ev) {
var dialogName = ev.data.name;
var dialogDefinition = ev.data.definition;
if (dialogName == 'image') {
dialogDefinition.removeContents('Upload');
dialogDefinition.addContents({
title: "Upload",
id: "upload",
label: "Upload",
elements: [{
type: "html",
html: '<form><input id="imageupload" type="file" name="files[]" />{%csrf_token%}</form>'
}]
});
}
});
这是我现实世界版本的未经测试的简化,但希望它能显示这个想法。
这不会在图像对话框中设置 URL 字段,因此单击对话框上的"确定"将显示错误消息。 您需要在成功上传时进行设置,因此:
CKEDITOR.dialog.getCurrent().getContentElement('info', 'txtUrl').setValue(theURL);
发送到服务器的额外数据由 get 请求传递。我试图添加额外的数据,最终实现这一点,添加到用于发送数据的表单的 url 参数中
CKEDITOR.on('dialogDefinition', function(ev)
{
var dialogName = ev.data.name;
var dialogDefinition = ev.data.definition;
if (dialogName == 'image')
{
dialogDefinition.contents[2].elements[0].action += '&pin=123456';
/* 2 is the upload tab it have two elements 0=apparently is the
and 1: is the button to perform the upload, in 0 have the action property with the parameters of the get request simply adding the new data
*/
}
});
CKEditor 为 Elgg 集成图像上传时遇到了类似的问题。我想出的侵入性最小的解决方案是绑定到提交按钮的onClick事件,并直接从中修改表单:
CKEDITOR.on('dialogDefinition', function (ev) {
var dialogName = ev.data.name;
var dialogDefinition = ev.data.definition;
if (dialogName === 'image') {
var uploadTab = dialogDefinition.getContents('Upload');
for (var i = 0; i < uploadTab.elements.length; i++) {
var el = uploadTab.elements[i];
if (el.type !== 'fileButton') {
continue;
}
// add onClick for submit button to add inputs or rewrite the URL
var onClick = el.onclick;
el.onClick = function(evt) {
var dialog = this.getDialog();
var fb = dialog.getContentElement(this['for'][0], this['for'][1]);
var action = fb.getAction();
var editor = dialog.getParentEditor();
editor._.filebrowserSe = this;
// if using jQuery
$(fb.getInputElement().getParent().$).append('<input type="hidden" name="foo" value="bar">');
// modifying the URL
fb.getInputElement().getParent().$.action = '/my/new/action?with&query¶ms=1';
if (onClick && onClick.call(evt.sender, evt) === false) {
return false;
}
return true;
};
}
}
});
似乎没有办法在不编辑 ckeditor 源代码的情况下将数据添加到 ckeditor 上传数据。要修改的源代码是 plugins/dialogui/plugin.js,在 ckeditor 3.6.2 中的第 1440 行附近,其中 ckeditor 创建上传 iframe 使用的表单。
// ADDED TO CKEDITOR CODE %<
var csrfitems = document.getElementsByName("csrfmiddlewaretoken")
var csrftoken = ""
if(csrfitems.length > 0)
csrftoken = csrfitems[0].value
// >% END OF ADDED CODE
if ( elementDefinition.size )
size = elementDefinition.size - ( CKEDITOR.env.ie ? 7 : 0 ); // "Browse" button is bigger in IE.
frameDocument.$.write( [ '<html dir="' + langDir + '" lang="' + langCode + '"><head><title></title></head><body style="margin: 0; overflow: hidden; background: transparent;">',
'<form enctype="multipart/form-data" method="POST" dir="' + langDir + '" lang="' + langCode + '" action="',
CKEDITOR.tools.htmlEncode( elementDefinition.action ),
'">',
// ADDED TO CKEDITOR CODE
'<input type="hidden" name="csrfmiddlewaretoken" value="',csrftoken,'"/>',
// >% END OF ADDED CODE
'<input type="file" name="',
CKEDITOR.tools.htmlEncode( elementDefinition.id || 'cke_upload' ),
'" size="',
CKEDITOR.tools.htmlEncode( size > 0 ? size : "" ),
'" />',
'</form>',
现在我们可以在 ckeditor 中使用 django 安全上传
这个问题太老了,但是...
版本 4.5 您可以将钩子添加到任何请求中
editor.on( 'fileUploadRequest', function( evt ) {
var xhr = evt.data.fileLoader.xhr;
xhr.setRequestHeader( 'Cache-Control', 'no-cache' );
xhr.setRequestHeader( 'csrf header ', 'HEADER' );
xhr.withCredentials = true;
} );
如果您通过HTTPS在URL中发送CSFR令牌,那么这样做应该是可以的(从安全品脱的角度来看(,而且处理起来也容易得多。
这假设 django 可以读取该变量,或者你可以轻松地修改 django。这些试图改变 CKeditor 的答案似乎有点太多了。
只要您的CSFR_token由用户浏览器以安全的方式发送到服务器,无论是通过 POST 还是 GET 都没有关系。安全问题是中间人攻击,即您不希望用户CSFR_token以纯文本形式广播。
严格来说,这种数据应该根据HTTP规范作为POST发送,但这似乎是"滥用"GET协议的情况可能是可以接受的,因为您无法以特别优雅的方式控制CKEditor代码。
此外,如果 CKEditor 在升级中更改了内容,您可能会被抓住,通过 URL 传递令牌将始终有效。
- AngularJS:在.post()之后添加事件侦听器
- 如何在ajax文件上传中添加额外的POST参数
- 如何将 POST 变量添加并保存到 Qualtrics
- 将 throbber 添加到 jQuery post()
- 自动添加然后POST的HTML表单
- 如何在Node.js中向Post请求添加查询
- 在Http Post上添加授权标头
- 将20px的高度添加到可变高度的post容器中
- Rails 表单在添加引导程序后执行 POST 而不是 DELETE
- 将 PHP 变量添加到 JQuery Post 传递的参数中
- 从通过 echo 语句动态添加的表单元素中获取 POST 值
- PHP:如何使用 jQuery 和 $post[] 获取动态添加的输入的值
- 如何在 CKeditor 上传中向 POST 值添加字段
- PHP 使用 foreach post 向 mysql 添加多个数据
- 使用 jQuery 将 post 变量添加到表单中
- 在 Couchdb ( 虹膜沙发 ) POST 请求中添加新文档失败,状态为 500
- 如何使用 AJAX POST 请求在表中添加元素
- 通过PHP将Javascript动态HTML输入POST(每个添加的输入都需要重命名字段's)
- 动态地向表单post添加数据
- 为Ajax Post添加新值到表单数据
