问题标签 [antisamy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - Antisamy 1.5.3 span 标签样式属性异常
我正在使用 antisamy 1.5.3 以及以下依赖项
- 蜡染1.5-fop-0.20-5.jar
- nekohtml-1.9.6.jar
- xercesImpl-2.9.1.jar
嗨,我有一个输入 html 字符串
我希望 antisamy 的输出是相同的。但是我遇到了以下异常,有人可以告诉我哪里出错了吗?是否有解决此问题的方法。
java - antisamy 解析器强制关闭标签
我使用 Antisamy 来验证 HTML。我的政策允许 iframe,例如 youtube 视频。问题是 - 如果标签为空(像这样):
比清洗后会是这样:
但它应该有正常的结束标签。
这会破坏页面上的所有内容。我已经将指令设置为使用大部分 HTML 但不使用 XML:
但这无济于事。
UPD:在解析器之间切换和使用指令仍然没有给出任何结果。
UPD2:这是我配置的一部分,负责处理iframe
标签:
任何想法?
java - XSS 清理嵌套的 html 标签输入
我正在使用 antisamy 库来针对 XSS 清理我的应用程序的输入。我对嵌套标签有疑问,例如:
我的消毒方法如下所示:
我对这种类型的输入的测试失败了:
和:
断言失败:断言已清理.isEmpty() | | | 误报('xss');
你知道如何在没有递归调用的情况下处理它xss.clean()
吗?
spring-mvc - 在 Spring MVC 中使用 AntiSamy 的 XSS 安全性
我想从我的 HTML 中过滤所有输入标签的内容。我正在使用 AntiSamy 过滤器,到目前为止,我的过滤器正在过滤掉完整的 html 内容(而不仅仅是输入值)。
我正在使用此处提供的实现:
在 doFilter 方法中,我使用这段代码来扫描内容
而我想要的是:
这样只过滤输入字段的内容。
这是整个 doFilter 方法:
我已经在 AntiSamy 默认提供的所有策略文件上进行了尝试。
如果能在这方面得到一些帮助,那就太好了。
antisamy - 使用 html5 和 css3 更新策略文件
我们一直在为我们的产品使用 antisamy,但现在新的 HTML5 标签和 css3 样式引入了它成为一个痛点,并允许具有定义值的特定样式。
有没有完全支持新标签和样式的开源 antisamy 策略文件。在线提供的所有开放式反叛政策文件都不支持 HTML5 和 CSS3。
另外的选择
如果我必须去更改策略文件以调整所有 HTML5 标记和 CSS3 样式,有没有一种方法可以调整样式,这样我至少不必调整浏览器前缀。对于下面的示例,如果我们有办法让“-moz-border-radius”或“-webkit-border-radius”或“border-radius”具有浏览器半径
例如。
antisamy - 反samy代码将避免锚链接中的onclick
我正在使用 anti-samy 1.5.2 版本将我的 html 转换为安全的 html。
现在我给反samy扫描方法提供以下代码
但反萨米会将其转换为以下
因此,我的 onclick 在我的应用程序中不起作用所以我想要我给 antisamy 的相同代码
谁能帮我?
这是我用于锚标记的反 samy 策略文件
java - 如何避免使用 Antisamy 在输入中编码 html 实体
当我使用解析器模式作为 DOM 使用 antisamy1.5.3 时,所有像这样的 html 实体
都被转换为 
。我不想要这种转换。如何避免这种转换。在 antisamy 源代码中,我认为这种转换是在 ASXHTMLSerializer.getEntityREf() 方法中完成的。请帮助如何避免这种编码。
输入:
Antisamy 输出 (Cleanresults.getcleanhtml())
预期输出:
javascript - Antisamy 或内容安全策略或两者兼而有之,以防止 XSS 攻击
最近我研究了很多与 XSS 攻击有关的东西。我正在寻找 XSS 攻击的预防技术。
我遇到了 OWASP 建议的名为 Antisamy 的库。AntiSamy 是一个用于 Java 的 HTML、CSS 和 JavaScript 过滤器,可根据策略文件清理用户输入。AntiSamy 不是 HTML、CSS 和 JavaScript 验证器。这只是一种确保 HTML、CSS 和 JavaScript 输入严格遵循策略文件定义的规则的方法
我还阅读了一个名为 Content Security Policy (CSP) 的 HTTP 响应标头。它允许您创建可信内容来源的白名单,并指示浏览器仅执行或呈现来自这些来源的资源。
那么我应该只使用 Antisamy 或 CSP 还是同时使用两者都会有益?
先感谢您。
.net - .NET 中的 AntiSamy 样式属性
我在 .Net 项目中使用 AntiSamy。我想保留<span>
标签的样式属性,原封不动。我试图修改政策,但无论我做什么,我都会得到相同的结果......由此:
对此:
浏览完政策文件后,我在那里看到了这条评论:
在这里我有一些问题...
策略 xml 文件中的这条注释行是什么意思?
我是否必须对中的样式属性进行更改,<common-attributes>
或者这不会触及<span>
标签中的样式属性?
我是否必须仅在样式属性内容<tag name="span" action="validate"/>
下进行更改才能保持不变?<tag-rules>
先感谢您。
sakai - 如何修改 Sakai 安装的 AntiSamy 策略文件?
我想修改已部署的 Sakai 安装,以允许来自多个校园媒体服务器的 iframe。iframe 的一个示例是https://mediaserver.example.edu/p/player.html。在部署的 Tomcat 中编辑策略文件的最简单方法是什么?