1

有什么方法可以允许策略中的所有内容,然后我只需 .disallow() 几个我知道会导致问题的元素和属性。例如,而不是做“

 PolicyFactory policy = new HtmlPolicyBuilder()
                .allowElements("table", "tr", "td", "href", "body", "th", "font", "button", "input", "select")

我可以

 PolicyFactory policy = new HtmlPolicyBuilder()
                .allowElements(Include all elements)

注意:我不想使用 Antisamy。

4

1 回答 1

1

这是不可能的,因为 OWASP Java HTML Sanitizer 是白名单过滤器而不是黑名单过滤器。

默认情况下,sanitizer 禁止所有,并且您必须知道您希望应用程序接收什么。

于 2018-11-20T15:03:25.527 回答