我使用以下代码过滤掉 Android 上用户提交的 html 文件中的 javascript 代码:
Policy antiSamyPolicy;
try {
antiSamyPolicy = Policy.getInstance(AntiSamy.class.getResourceAsStream("/antisamy.xml"));
} catch (PolicyException e) {
e.printStackTrace();
return;
}
AntiSamy antiSamy = new AntiSamy(antiSamyPolicy);
CleanResults result;
try {
result = antiSamy.scan(taintedHtml);
} catch (PolicyException | ScanException e) {
e.printStackTrace();
return;
}
它加载包含在 AntiSamy ( https://github.com/nahsra/antisamy ) 中的捆绑策略“antisamy.xml”。
一切似乎都正常。唯一的问题是政策的实际程度如何?过滤掉当代 html 中的所有 javascript 代码就足够了吗?