OWASP HTML Sanitizer 清理评论
Posted
技术标签:
【中文标题】OWASP HTML Sanitizer 清理评论【英文标题】:OWASP HTML Sanitizer cleans comments 【发布时间】:2017-04-09 14:22:23 【问题描述】:我有一个应用程序,客户可以在其中存储以下 html 行,以便为实际浏览器加载不同的样式:
<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]-->
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]-->
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]-->
我还配置了OWASP policy,以通过以下方式禁止恶意html标签:
new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory();
但是卫生后if browser lines被丢弃了。
您能否建议如何配置策略以允许存储此类内容?
【问题讨论】:
【参考方案1】:无法将 OWASP Sanitizer 配置为接受这些标签。相反,您可以使用 JSoup 之类的 HTML 解析器在净化前提取这些行,然后再将它们添加回来。
【讨论】:
【参考方案2】:有Issue #1532: Allow comments to be preserved in HTML。在完成该功能请求或类似请求之前,HTML sanitizer 无法做到这一点。
【讨论】:
以上是关于OWASP HTML Sanitizer 清理评论的主要内容,如果未能解决你的问题,请参考以下文章
Java:Owasp AntiSamy 与 Owasp-java-html-sanitize
使用 JSON Sanitizer 清理来自 Spring MVC 控制器的响应 JSON?