5

我使用 Antisamy 来验证 HTML。我的政策允许 iframe,例如 youtube 视频。问题是 - 如果标签为空(像这样):

<iframe src="//www.youtube.com/embed/uswzriFIf_k?feature=player_detailpage" allowfullscreen></iframe>

比清洗后会是这样:

<iframe src="//www.youtube.com/embed/uswzriFIf_k?feature=player_detailpage" allowfullscreen/>

但它应该有正常的结束标签。

这会破坏页面上的所有内容。我已经将指令设置为使用大部分 HTML 但不使用 XML:

<directives>
    <directive name="omitXmlDeclaration" value="true"/>
    <directive name="omitDoctypeDeclaration" value="true"/>
    <directive name="maxInputSize" value="200000"/>
    <directive name="nofollowAnchors" value="true" />
    <directive name="validateParamAsEmbed" value="true" />
    <directive name="useXHTML" value="false"/>

    <directive name="embedStyleSheets" value="false"/> 
    <directive name="connectionTimeout" value="5000"/>
    <directive name="maxStyleSheetImports" value="3"/>
    <directive name="formatOutput" value="false"/>
</directives>

但这无济于事。

UPD:在解析器之间切换和使用指令仍然没有给出任何结果。

UPD2:这是我配置的一部分,负责处理iframe标签:

    <tag name="iframe" action="validate">
        <attribute name="src">
            <regexp-list>
                <regexp name="youtube"/>
                <regexp name="slideshare"/>
            </regexp-list>
        </attribute>
        <attribute name="allowfullscreen">
             <regexp-list>
                 <regexp name="anything"/>
             </regexp-list>
        </attribute>
        <attribute name="scrolling">
            <regexp-list>
                <regexp name="anything"/>
            </regexp-list>
        </attribute>
        <attribute name="marginwidth">
            <regexp-list>
                <regexp name="anything"/>
            </regexp-list>
        </attribute>
        <attribute name="marginheight">
            <regexp-list>
                <regexp name="anything"/>
            </regexp-list>
        </attribute>
        <attribute name="frameborder">
            <regexp-list>
                <regexp name="anything"/>
            </regexp-list>
        </attribute>
        <attribute name="style"/>
    </tag>

任何想法?

4

2 回答 2

0

尝试这个 -

<tag name="iframe" action="validate"/>

并在此列表中添加一个标签 -

<allowed-empty-tags>
   <literal-list>
      <literal value="iframe"/>
   </literal-list>
</allowed-empty-tags>

请参阅http://code.google.com/p/owaspantisamy/...

于 2013-10-13T09:11:04.137 回答
0

我遇到了同样的问题。就我而言,这是由于 AntiSamy 政策具有此指令:

<directive name="useXHTML" value="true" />

根据 OWASP 文档,它将以 XHTML 格式输出经过清理的数据,而不仅仅是常规的 HTML。请参阅: https ://www.owasp.org/index.php/AntiSamy_Directives

将该值更改为 false 将允许将经过清理的输出作为有效的 HTML 提供。块级元素不会被缩短并成为无效标记。

于 2019-03-22T15:20:08.317 回答