问题标签 [antisamy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
html - Antisamy-tinymce 去除
标签
我正在传递一张下面有 html 的图片:-
尽管我没有在删除标签中提供它,但我的标签正在被删除。
我不希望我的标签被删除。请任何可以提供帮助的人
java - 使用 AntiSamy 进行 CSS 验证
我有一个字符串,我想验证它是否是有效的 CSS 值。在 AntiSamy 的文档中,我发现我可以使用 CSSValidator.isValidProperty ( http://javadox.com/org.owasp/antisamy/1.4/org/owasp/validator/css/CssValidator ) 来做到这一点。但是,第二个参数的类型需要 LexicalUnit。
还有另一种方法可以使用 AnitSamy 验证字符串吗?
java - 如何处理来自请求参数的 Json 和 HTML 净化?
如何正确编码查询参数。我通过进行清理的 Anti Samy 传递数据。其次,我需要传递清理后的字符串 unescapeHtml4 方法。因为有时我将 Json 作为我的请求参数(参见下面的示例 1)。
目前,我的代码如下:
示例 1:Json 作为请求:
如果我删除第 4 行,我最终会得到 {" name ": " Mav "}
示例 2:以下脚本的转义结果:< script >alert("hi") < script >
如果我保留第 4 行,我很容易受到 XSS 的攻击。
如何解决这个问题?我想同时处理 JSON 和 HTML 请求参数。任何帮助,将不胜感激。
java - AntiSamy 在 java 中防止 XSS?
基本上我有一个网络应用程序,它目前容易受到 XSS 的攻击。根据我的研究,我发现一个可以提供帮助的优秀且开放的图书馆是 AntiSamy。所以我下载了库 .jar 文件antisamy-1.5.1.jar
和策略文件antisamy-slashdot-1.4.4.xml
并将其导出到我的项目 WEB-INF 目录。
我对 AntiSamy 非常陌生,并且真的不知道如何在字符串上实现它以对其进行编码和保护它免受 XSS 攻击。
假设我有一串:String XSSPossible = "<script>alert("It's vulnerable.");</script>";
现在我想将它编码为普通文本并保护它免受 XSS 攻击。
非常问候。
html - 我正在尝试在我的项目中添加所有 XSS 验证,在 Web.xm 中的参数验证过滤器下方添加,我还需要添加 HTML Sanitizer 吗?
我正在尝试在我的项目中添加所有 XSS 验证,我已在 Web.xml 中的参数验证过滤器下方添加
我还需要在我的项目中添加 HTML Sanitizer 吗?
java - AntiSamy 政策是否实际
我使用以下代码过滤掉 Android 上用户提交的 html 文件中的 javascript 代码:
它加载包含在 AntiSamy ( https://github.com/nahsra/antisamy ) 中的捆绑策略“antisamy.xml”。
一切似乎都正常。唯一的问题是政策的实际程度如何?过滤掉当代 html 中的所有 javascript 代码就足够了吗?
java - 断线的 AntiSamy 属性问题
我正在尝试在 java 中使用 AntiSamy,但我遇到了断线问题。
这是来自 GUI 的值:
First line\r\nSecond line
这是 org.owasp.validator.html.CleanResults 的值:
First line\nSecond line
当我尝试比较答案时,答案是错误的。
我的属性:
任何想法?
xss - antisamy 不编码@
我正在使用 antisamy 1.5 来防止 XSS。
我在输入时看到了问题
Antisamy 扫描后的结果对于上述两种情况都是相同的
我在策略文件中有以下指令
策略文件中是否有我可以更新以编码 @ 的位置?
java - Antisamy 在脚本标记后删除字符串
我有一个场景,我通过 AntiSamy 标签传递一个字符串。字符串是 .
所以我期待 AntiSamy 删除标签及其内容和打印测试。但是 AntiSamy 正在删除整个内容并返回空字符串。任何人都可以帮忙吗?谢谢。
java - Antisamy 将单引号转换为双引号
当我尝试通过antisammy扫描 html 标签时,它会给出奇怪的输出。它将单引号转换为双引号。
输入字符串 -<span style="font-family: 'times new roman', times, serif;">My name is Gourav</span>
输出字符串 -<span style="font-family: "times new roman" , times , serif;">My name is Gourav</span>
因此,如您所见,单引号被编码为"
解码时给出"
的而不是'
. 这给我带来了问题。
Antisammy 版本 - 1.5.3
策略文件 - antisamy-anythinggoes.xml
我该如何解决这个问题?任何帮助表示赞赏