HTML編輯器 KindEditor 4.1.1 發布

根據國家信息安全漏洞共享平臺（即中國國家漏洞庫，CNVD）要求，4.1.1版本開始默認開啟白名單過濾，只能使用htmlTags里定義的HTML標簽和屬性，其它標簽和屬性會被編輯器過濾。如果要允許輸入任何 HTML代碼，可以將filterMode參數設置成false。注意，這個過濾在瀏覽器端進行，攻擊者仍然可以繞過編輯器直接提交XSS、CSRF等攻擊代碼，所以一定要在服務器端加入過濾邏輯，可參考HTML purifier、Jsoup等類庫。

此外，KindEditor壓縮包包含PHP、ASP、.NET、JSP等演示代碼，因為包含上傳和遍歷目錄功能，這些代碼使用不當很可能引起安全問題，建議對它進行改造。如果您對這些代碼不了解，請不要上傳到服務器上。

改造方案：

1. 加入用戶權限驗證。
2. 嚴格驗證上傳文件格式，除擴展名驗證外，應該加入文件內容檢查邏輯。
3. 文件信息保存在數據庫里，以查詢數據庫的方式瀏覽文件，直接遍歷文件夾存在安全隱患。

KindEditor 4.1.1 變更記錄：

1. 新增: extraFileUploadParams初始化參數，文件上傳時，支持添加別的參數一并傳到服務器。
2. 變更: filterMode默認值改成true，根據htmlTags配置過濾HTML代碼。
3. Bugfix: [Chrome] 粘貼內容代碼中出現white-space:nowrap導致不換行。
4. Bugfix: [IE6] 本地圖片上傳按鈕錯位。
5. Bugfix: 開啟過濾模式后，預覽內容顯示KindEditor。

演示：http://www.kindsoft.net/demo.php
下載：http://www.kindsoft.net/down.php
文檔：http://www.kindsoft.net/doc.php