CKEditor 4.4.6 发布了,该版本对底层的编辑器核心进行了一些显著的改进,包含内容选择和样式系统相关的问题,修复了各种 bug,同时包含一个 HTML 解析中的安全问题。所以强烈建议升级! 安全问题修复 CKEditor 4.4.6 修复了一个 HTML 解析器的 XSS 漏洞,该漏洞是由 Maco Cortes 报告的。漏洞导致可以在 CKEditor 源码区域执行 XSS,可通过如下步骤重现该漏洞: 1. 切换 CKEditor 到源码模式 2. 粘贴一段由攻击者提供的结构不完整的 HTML 代码到源码编辑区域 3. 切换回可视化编辑模式 尽管该场景不常见,但我们仍然建议你升级到最新的版本。 编辑器底层内核的提升 尽管这是一个小的发行版本,但是我们还是对 CKEditor 的内核做了一些显著的改进,例如 #12489, #12491 和 #12630 改进了内容的选择; #12621, #12688 和 #12403 对样式子系统做了提升,修复一些嵌套 <span> 标签中移除内建样式和空行的问题。 新特性 CKEditor 4.4.6 包含两个新特性:Allowed content rules 可用于 content filtering 定义,现在接受名称中带斜杠;此外 HTML5 的 <main> 元素添加到 CKEDITOR.dtd. 完整的改进记录请看 What's New? 下载 下载 CKEditor 或者 更新你的安装 ,也可以使用 package manager 来安装。 CKEditor 4.4.6 安全补丁版本发布下载地址