问题标签 [antisamy]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
563 浏览

java - 在 Spring MVC 中使用 AntiSamy 过滤器的性能问题

在我的 Web 应用程序项目中,我们使用 AntiSamy 过滤器来验证用户输入,在包含它之后,应用程序的性能太慢而无法加载屏幕。我相信这是因为使用了 Antisamy。请让我知道是否有任何方法可以解决此性能问题。

谢谢。

0 投票
1 回答
1921 浏览

xss - 如何在 cq 5.5 中配置 antisamy?

我有 cq 5.5 项目。

我想防止 XSS 攻击。

根据此链接cq 提供与 AntiSamy 项目的集成。

请提供与 AntiSamy 集成的具体步骤,因为我真的找不到它。

更新

我应该在某处写这样的代码吗?

0 投票
0 回答
527 浏览

integration - 如何在 cq 5.5(和 5.6)中为 antisami 库安装 owasp esapi 包?

我问了以下关于集成 antysami 库和 cq 的问题。但我有相关的问题要实现。

我注意到5.5 的 cq5 文档不包含有关 antisamy 的信息(另一方面,cq 5.6 文档包含此信息)

回答我提到的问题时,我看到要使用 antysamy,我应该在您的实例中安装 owasp esapi 包。现在我在本地有两个 cq 实例(5.5 和 5.6.1 版本)。在这两种情况下,我都看到

/libs/cq/xssprotection/config.xml

但是这两个实例都不包含 owasp esapi 包。(我通过这个链接观看它http://localhost:4502/system/console/bundles:)

请提供实现owasp esapi bundle安装到我的本地实例的步骤。此过程对于 cq 5.5 和 cq 5.6(.1) 是否有所不同?

更新:

我目前的意思(请批准或更正)看起来是这样的:

  1. http://mvnrepository.com/artifact/org.apache.servicemix.bundles/org.apache.servicemix.bundles.esapi/2.0GA_1 第三方包下载并安装到 cq。

    在这一步之后,我看到这个捆绑包处于已安装状态(未激活)

  2. 为了使提到的捆绑包处于活动状态,我将此捆绑包列表安装到我的实例中:

    /li>

如果我错了,请纠正。

0 投票
1 回答
596 浏览

java - 如何检查 AntiSamy 是否在我的 CQ 实例上工作?

我正在研究如何将 AntiSamy 与 CQ5 集成。到目前为止,我的步骤是:

  1. 检查 CQ 实例是否包含此 CRX 路径中的文件,该文件/libs/cq/xssprotection/config.xml定义了 AntiSamy 的配置。

  2. 下载第3 方包 (esapi 2.0GA)并将其安装到 CQ。在此步骤之后,捆绑包处于installed状态(不是active)。

  3. 为了激活上面的包,我安装了这个依赖列表:

我的问题:

  1. CQ5 是否提供了一个完整的集成包,我可以将其作为一个完整的包下载,并且 AntiSamy 可以工作吗?
  2. 如何检查 AntiSamy 是否正常工作?我应该注意哪些迹象?
  3. 我是否需要编写任何 Java 代码(例如与 HTML 过滤相关)或 CQ5 毫不费力地调用它?
0 投票
0 回答
312 浏览

java - 如何使用 Antisamy 允许所有 SVG 元素及其属性?

我想允许使用 Antisamy 的所有 svg 元素及其属性。我怎么做?我尝试在 Antisamy 策略文件中包含所有元素及其属性,并将正则表达式设置为允许任何字符串为 .* 。但我收到以下错误消息

以及其他标签的许多其他错误消息。有什么方法可以允许这些标签而不将它们全部添加到策略文件中?

对此的任何帮助将不胜感激。谢谢!

0 投票
3 回答
590 浏览

javascript - 我能否在 CF11 中获得强大的 XSS 保护,可以将其应用于整个站点而无需触及每个查询或输入?

所以我目前正在使用 CF11 和 CFWheels 1.1,“全局脚本保护”(GSP)服务器功能在覆盖 XSS 基础方面做得非常糟糕。我想扩展它以阻止将 JS 的任何和所有标签/向量插入到数据库中。

CF11 通过 getSafeHTML() 函数提供 antiSamy 保护,该函数应用 application.cfc 中指定的 xml 策略文件,但我仍然需要修改应用程序中的每个 varchar cfqueryparam 才能使用它,对吗?

有没有办法让 CF11 以与 GSP 功能类似的方式在服务器或应用程序范围内启用 antisamy 功能?我的意思是 GSP 会自动从提交给应用程序的输入中去除标签,而无需修改所有查询/表单操作。我想要一种以相同方式应用 antisamy 策略文件或 getSafeHTML() 的方法。

谢谢!

0 投票
1 回答
345 浏览

antisamy - AntiSamy 删除样式中的 RGBA 值

HTML

RGBA正则表达式

配置文件

通过此设置,fillCSS 属性将从干净的 HTML 中删除。我希望 AntiSamy 应该在干净的 HTML 中保留 rgba 值。我已经测试了正则表达式,它运行良好。即使我改变了正则表达式来接受任何东西(。*),但这对我也不起作用。

我不太清楚。我哪里错了?

0 投票
1 回答
159 浏览

c# - AntiSamy,找不到 java.io.CharArrayReader 的参考

我第一次尝试使用 AntiSamy。
我添加了从https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project_.NET获得的 AntiSamy 的源代码

但我无法构建项目收到错误:

该函数使用“java”库:

各位大佬,这个DLL在哪里下载啊?

0 投票
1 回答
623 浏览

java - Antisamy Java 正则表达式 url 不接受井号或井号

在 antisamy xml 配置中,这是我设置的:

除了带有英镑/哈希符号的链接外,这似乎有效。

例如:http ://examplewebsite.com/example#section

使用上述正则表达式的 antisamy 将拒绝该输入并对其进行清理。任何人都可以帮我修改该正则表达式以允许井号吗?

0 投票
1 回答
1182 浏览

java - 尝试使用 OWASP ESAPI 库时未找到 antisamy-esapi.xml 异常

我正在尝试使用 esapi 库的 getValidSafeHtml () 函数,但出现以下异常

我已经复制antisamy-esapi.xml到我保存的同一个目录中ESAPI.propertiesvalidation.properties并且两者都正确加载但antisamy-esapi.xml没有发现异常。请帮忙,因为我在过去两天一直遇到这个错误。

任何帮助,将不胜感激。

提前致谢。