问题标签 [antisamy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
569 浏览

java - Antisamy 1.5.3 span 标签样式属性异常

我正在使用 antisamy 1.5.3 以及以下依赖项

  1. 蜡染1.5-fop-0.20-5.jar
  2. nekohtml-1.9.6.jar
  3. xercesImpl-2.9.1.jar

嗨,我有一个输入 html 字符串

我希望 antisamy 的输出是相同的。但是我遇到了以下异常,有人可以告诉我哪里出错了吗?是否有解决此问题的方法。

0 投票
2 回答
1685 浏览

java - antisamy 解析器强制关闭标签

我使用 Antisamy 来验证 HTML。我的政策允许 iframe,例如 youtube 视频。问题是 - 如果标签为空(像这样):

比清洗后会是这样:

但它应该有正常的结束标签。

这会破坏页面上的所有内容。我已经将指令设置为使用大部分 HTML 但不使用 XML:

但这无济于事。

UPD:在解析器之间切换和使用指令仍然没有给出任何结果。

UPD2:这是我配置的一部分,负责处理iframe标签:

任何想法?

0 投票
1 回答
1012 浏览

java - XSS 清理嵌套的 html 标签输入

我正在使用 antisamy 库来针对 XSS 清理我的应用程序的输入。我对嵌套标签有疑问,例如:

我的消毒方法如下所示:

我对这种类型的输入的测试失败了:

和:

断言失败:断言已清理.isEmpty() | | | 误报('xss');

你知道如何在没有递归调用的情况下处理它xss.clean()吗?

0 投票
1 回答
1788 浏览

spring-mvc - 在 Spring MVC 中使用 AntiSamy 的 XSS 安全性

我想从我的 HTML 中过滤所有输入标签的内容。我正在使用 AntiSamy 过滤器,到目前为止,我的过滤器正在过滤掉完整的 html 内容(而不仅仅是输入值)。

我正在使用此处提供的实现:

Github

在 doFilter 方法中,我使用这段代码来扫描内容

而我想要的是:

这样只过滤输入字段的内容。

这是整个 doFilter 方法:

我已经在 AntiSamy 默认提供的所有策略文件上进行了尝试。

如果能在这方面得到一些帮助,那就太好了。

0 投票
1 回答
442 浏览

antisamy - 使用 html5 和 css3 更新策略文件

我们一直在为我们的产品使用 antisamy,但现在新的 HTML5 标签和 css3 样式引入了它成为一个痛点,并允许具有定义值的特定样式。

有没有完全支持新标签和样式的开源 antisamy 策略文件。在线提供的所有开放式反叛政策文件都不支持 HTML5 和 CSS3。

另外的选择

如果我必须去更改策略文件以调整所有 HTML5 标记和 CSS3 样式,有没有一种方法可以调整样式,这样我至少不必调整浏览器前缀。对于下面的示例,如果我们有办法让“-moz-border-radius”或“-webkit-border-radius”或“border-radius”具有浏览器半径

例如。

0 投票
1 回答
1047 浏览

antisamy - 反samy代码将避免锚链接中的onclick

我正在使用 anti-samy 1.5.2 版本将我的 html 转换为安全的 html。

现在我给反samy扫描方法提供以下代码

但反萨米会将其转换为以下

因此,我的 onclick 在我的应用程序中不起作用所以我想要我给 antisamy 的相同代码

谁能帮我?

这是我用于锚标记的反 samy 策略文件

0 投票
0 回答
602 浏览

java - 如何避免使用 Antisamy 在输入中编码 html 实体

当我使用解析器模式作为 DOM 使用 antisamy1.5.3 时,所有像这样的 html 实体 都被转换为 。我不想要这种转换。如何避免这种转换。在 antisamy 源代码中,我认为这种转换是在 ASXHTMLSerializer.getEntityREf() 方法中完成的。请帮助如何避免这种编码。

输入:

Antisamy 输出 (Cleanresults.getcleanhtml())

预期输出:

0 投票
2 回答
931 浏览

javascript - Antisamy 或内容安全策略或两者兼而有之,以防止 XSS 攻击

最近我研究了很多与 XSS 攻击有关的东西。我正在寻找 XSS 攻击的预防技术。

我遇到了 OWASP 建议的名为 Antisamy 的库。AntiSamy 是一个用于 Java 的 HTML、CSS 和 JavaScript 过滤器,可根据策略文件清理用户输入。AntiSamy 不是 HTML、CSS 和 JavaScript 验证器。这只是一种确保 HTML、CSS 和 JavaScript 输入严格遵循策略文件定义的规则的方法

我还阅读了一个名为 Content Security Policy (CSP) 的 HTTP 响应标头。它允许您创建可信内容来源的白名单,并指示浏览器仅执行或呈现来自这些来源的资源。

那么我应该只使用 Antisamy 或 CSP 还是同时使用两者都会有益?

先感谢您。

0 投票
1 回答
666 浏览

.net - .NET 中的 AntiSamy 样式属性

我在 .Net 项目中使用 AntiSamy。我想保留<span>标签的样式属性,原封不动。我试图修改政策,但无论我做什么,我都会得到相同的结果......由此:

对此:

浏览完政策文件后,我在那里看到了这条评论:

在这里我有一些问题...

策略 xml 文件中的这条注释行是什么意思?

我是否必须对中的样式属性进行更改,<common-attributes>或者这不会触及<span>标签中的样式属性?

我是否必须仅在样式属性内容<tag name="span" action="validate"/>下进行更改才能保持不变?<tag-rules>

先感谢您。

0 投票
1 回答
763 浏览

sakai - 如何修改 Sakai 安装的 AntiSamy 策略文件?

我想修改已部署的 Sakai 安装,以允许来自多个校园媒体服务器的 iframe。iframe 的一个示例是https://mediaserver.example.edu/p/player.html。在部署的 Tomcat 中编辑策略文件的最简单方法是什么?