OWASP HTML Sanitizer 清理评论

【问题标题】:OWASP HTML Sanitizer cleans commentsOWASP HTML Sanitizer 清理评论
【发布时间】:2017-04-09 14:22:23
【问题描述】:

我有一个应用程序,客户可以在其中存储以下 html 行,以便为实际浏览器加载不同的样式:

<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]--> 
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]--> 
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]-->

我还配置了OWASP policy,以通过以下方式禁止恶意html标签:

new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory();

但是卫生后if browser lines被丢弃了。

您能否建议如何配置策略以允许存储此类内容?

【问题讨论】:

    标签: java html xss owasp html-sanitizing


    【解决方案1】:

    无法将 OWASP Sanitizer 配置为接受这些标签。相反,您可以使用 JSoup 之类的 HTML 解析器在净化前提取这些行,然后再将它们添加回来。

    【讨论】:

      【解决方案2】:

      Issue #1532: Allow comments to be preserved in HTML。在完成该功能请求或类似请求之前,HTML sanitizer 无法做到这一点。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2014-08-03
        • 1970-01-01
        • 2012-07-07
        • 2015-12-27
        • 2015-05-06
        • 2011-04-15
        • 2011-11-23
        • 2013-04-08
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode