java - 如何检查 AntiSamy 是否在我的 CQ 实例上工作？

Question

我正在研究如何将 AntiSamy 与 CQ5 集成。到目前为止，我的步骤是：

1. 检查 CQ 实例是否包含此 CRX 路径中的文件，该文件/libs/cq/xssprotection/config.xml定义了 AntiSamy 的配置。

2. 下载第3 方包 (esapi 2.0GA)并将其安装到 CQ。在此步骤之后，捆绑包处于installed状态（不是active）。

3. 为了激活上面的包，我安装了这个依赖列表：

   • AntiSamy v1.4.5_1
   • Commons BeanUtils v1.8.3_2
   • 公共配置 v1.4_4
   • Xerces v2.11.0_1
   • XML 解析器 v1.2_1

我的问题：

1. CQ5 是否提供了一个完整的集成包，我可以将其作为一个完整的包下载，并且 AntiSamy 可以工作吗？
2. 如何检查 AntiSamy 是否正常工作？我应该注意哪些迹象？
3. 我是否需要编写任何 Java 代码（例如与 HTML 过滤相关）或 CQ5 毫不费力地调用它？

Answer 1

AntiSamy在 5.5 版本和 5.6 中， lib 被嵌入到cq-xssprotectionbundle 中并由它的服务使用。这个 jar 的反编译证明他们使用cq/xssprotection/config配置来自/libs或者/apps如果它是覆盖的。

我的 cq 实例已经包含 cq-xssprotection 包。如果你没有开箱即用，你可以尝试从这个 adobe 存储库链接下载它

与问题 3 相关的信息：我已经阅读了这个主题adobe 论坛链接，我可以做出决定，我应该使用 XSSAPI 编写 java 代码。

这段代码怎么写？

我找到了这个xss 备忘单

更新

cq-xssprotection 捆绑 pom.xml 片段：

...
<name>Day Communique 5 XSS Protection</name>
<description>
    CQ5 platform bundle for providing XSS protection using the AntiSamy library.
</description>
...
<dependencies>
    <dependency>
       <groupId>org.owasp</groupId>
       <artifactId>antisamy</artifactId>
       <version>1.4</version>
    </dependency>
...