问题标签 [antisamy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 在 Spring MVC 中使用 AntiSamy 过滤器的性能问题
在我的 Web 应用程序项目中,我们使用 AntiSamy 过滤器来验证用户输入,在包含它之后,应用程序的性能太慢而无法加载屏幕。我相信这是因为使用了 Antisamy。请让我知道是否有任何方法可以解决此性能问题。
谢谢。
xss - 如何在 cq 5.5 中配置 antisamy?
我有 cq 5.5 项目。
我想防止 XSS 攻击。
根据此链接cq 提供与 AntiSamy 项目的集成。
请提供与 AntiSamy 集成的具体步骤,因为我真的找不到它。
更新
我应该在某处写这样的代码吗?
integration - 如何在 cq 5.5(和 5.6)中为 antisami 库安装 owasp esapi 包?
我问了以下关于集成 antysami 库和 cq 的问题。但我有相关的问题要实现。
我注意到5.5 的 cq5 文档不包含有关 antisamy 的信息(另一方面,cq 5.6 文档包含此信息)
在回答我提到的问题时,我看到要使用 antysamy,我应该在您的实例中安装 owasp esapi 包。现在我在本地有两个 cq 实例(5.5 和 5.6.1 版本)。在这两种情况下,我都看到
/libs/cq/xssprotection/config.xml
但是这两个实例都不包含 owasp esapi 包。(我通过这个链接观看它http://localhost:4502/system/console/bundles:)
请提供实现owasp esapi bundle安装到我的本地实例的步骤。此过程对于 cq 5.5 和 cq 5.6(.1) 是否有所不同?
更新:
我目前的意思(请批准或更正)看起来是这样的:
从 http://mvnrepository.com/artifact/org.apache.servicemix.bundles/org.apache.servicemix.bundles.esapi/2.0GA_1 第三方包下载并安装到 cq。
在这一步之后,我看到这个捆绑包处于已安装状态(未激活)
为了使提到的捆绑包处于活动状态,我将此捆绑包列表安装到我的实例中:
/li>
如果我错了,请纠正。
java - 如何检查 AntiSamy 是否在我的 CQ 实例上工作?
我正在研究如何将 AntiSamy 与 CQ5 集成。到目前为止,我的步骤是:
检查 CQ 实例是否包含此 CRX 路径中的文件,该文件
/libs/cq/xssprotection/config.xml定义了 AntiSamy 的配置。下载第3 方包 (esapi 2.0GA)并将其安装到 CQ。在此步骤之后,捆绑包处于
installed状态(不是active)。为了激活上面的包,我安装了这个依赖列表:
我的问题:
- CQ5 是否提供了一个完整的集成包,我可以将其作为一个完整的包下载,并且 AntiSamy 可以工作吗?
- 如何检查 AntiSamy 是否正常工作?我应该注意哪些迹象?
- 我是否需要编写任何 Java 代码(例如与 HTML 过滤相关)或 CQ5 毫不费力地调用它?
java - 如何使用 Antisamy 允许所有 SVG 元素及其属性?
我想允许使用 Antisamy 的所有 svg 元素及其属性。我怎么做?我尝试在 Antisamy 策略文件中包含所有元素及其属性,并将正则表达式设置为允许任何字符串为 .* 。但我收到以下错误消息
以及其他标签的许多其他错误消息。有什么方法可以允许这些标签而不将它们全部添加到策略文件中?
对此的任何帮助将不胜感激。谢谢!
javascript - 我能否在 CF11 中获得强大的 XSS 保护,可以将其应用于整个站点而无需触及每个查询或输入?
所以我目前正在使用 CF11 和 CFWheels 1.1,“全局脚本保护”(GSP)服务器功能在覆盖 XSS 基础方面做得非常糟糕。我想扩展它以阻止将 JS 的任何和所有标签/向量插入到数据库中。
CF11 通过 getSafeHTML() 函数提供 antiSamy 保护,该函数应用 application.cfc 中指定的 xml 策略文件,但我仍然需要修改应用程序中的每个 varchar cfqueryparam 才能使用它,对吗?
有没有办法让 CF11 以与 GSP 功能类似的方式在服务器或应用程序范围内启用 antisamy 功能?我的意思是 GSP 会自动从提交给应用程序的输入中去除标签,而无需修改所有查询/表单操作。我想要一种以相同方式应用 antisamy 策略文件或 getSafeHTML() 的方法。
谢谢!
antisamy - AntiSamy 删除样式中的 RGBA 值
HTML
RGBA正则表达式
配置文件
通过此设置,fillCSS 属性将从干净的 HTML 中删除。我希望 AntiSamy 应该在干净的 HTML 中保留 rgba 值。我已经测试了正则表达式,它运行良好。即使我改变了正则表达式来接受任何东西(。*),但这对我也不起作用。
我不太清楚。我哪里错了?
c# - AntiSamy,找不到 java.io.CharArrayReader 的参考
我第一次尝试使用 AntiSamy。
我添加了从https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project_.NET获得的 AntiSamy 的源代码
但我无法构建项目收到错误:
该函数使用“java”库:
各位大佬,这个DLL在哪里下载啊?
java - Antisamy Java 正则表达式 url 不接受井号或井号
在 antisamy xml 配置中,这是我设置的:
除了带有英镑/哈希符号的链接外,这似乎有效。
例如:http ://examplewebsite.com/example#section
使用上述正则表达式的 antisamy 将拒绝该输入并对其进行清理。任何人都可以帮我修改该正则表达式以允许井号吗?
java - 尝试使用 OWASP ESAPI 库时未找到 antisamy-esapi.xml 异常
我正在尝试使用 esapi 库的 getValidSafeHtml () 函数,但出现以下异常
我已经复制antisamy-esapi.xml到我保存的同一个目录中ESAPI.properties,validation.properties并且两者都正确加载但antisamy-esapi.xml没有发现异常。请帮忙,因为我在过去两天一直遇到这个错误。
任何帮助,将不胜感激。
提前致谢。