问题标签 [html-sanitizing]

我目前使用 owasp-java-html-sanitizer 来清理来自CKEditor/FCKEditor的用户输入，但它也删除了嵌入的 iframe。但我有真正的用例，例如在帖子中嵌入 YouTube 视频或幻灯片共享演示文稿。

如何安全地允许此类嵌入式 iframe？

在 antisamy xml 配置中，这是我设置的：

除了带有英镑/哈希符号的链接外，这似乎有效。

例如：http ://examplewebsite.com/example#section

使用上述正则表达式的 antisamy 将拒绝该输入并对其进行清理。任何人都可以帮我修改该正则表达式以允许井号吗？

我正在开发一个 MVC 5 互联网应用程序，并且有一些与安全性有关的问题。

我需要手动实施哪些安全措施来确保我的互联网应用程序是安全的？

这是我到目前为止所拥有的：

• [ValidateAntiForgeryToken]HttpPost每个函数的属性
• Sanitizer.GetSafeHtml具有HTML 数据的模型属性上的函数
• Identity 2.1 用于认证和授权

提前致谢。

更新

该应用程序是一个简单的 MVC Internet 应用程序，具有托管在 Azure 上的 Web 服务。我正在使用 Entity Framework 6、Web API 2.0 和 MVC 5。我可以给你什么相关信息？

在接收来自用户（富文本编辑器）的 html 输入时，我想限制他们提交的图像数量。有没有办法允许前几张图片，然后删除其余的？

图像的形式

我现在正在寻找 html 净化器库。而且我发现有两个“owasp”库。第一个是https://code.google.com/p/owasp-java-html-sanitizer/，第二个是https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project。

我的问题是 - 比较它们时有什么优缺点。

我必须将几个 100000 个非常旧的 html 文档放入 Web 应用程序中。我在使用 OWASP HTML Sanitizer 时看到了很好的效果，并且能够确保创建正确清理的 HTML。我唯一的问题是 HTML Sanitizer 对最大行长设置了硬性限制。确切地说，这是每行最多 250 个字节。不幸的是，这会导致一些单词在中间被拆分，这与显示的 html 相同（标有插入符号）：

我怎样才能告诉消毒剂不要过早结束线路？

由于原始 html 中的某些行是 800 字节或更多字节，因此如果我能够告诉 sanitizer 仅在空白处插入中断，这也会有所帮助。

我正在寻找一个库来执行 JSON Santization，并遇到了 JSoup 和 OWSAP AntiSamy。看起来 AntiSamy 只做 HTML Sanitization，并且有一个单独的 JSON Sanitization 项目。JSoup 似乎也没有提到 JSON 清理。

JSoup和 OWSAP AntiSamy 是否执行 JSON 清理？

我想用一个人的名字清理一个简单的文本字段，以防止 XSS 等。Stackoverflow 几乎说我必须列入白名单。我不明白这一点。如果我只是从输入值中删除所有<and ，或者用and>替换它们，那不排除代码注入吗？还是我错过了什么？也许您只需要在必须忍受尖括号的更复杂场景中加入白名单？>&ls;

抱歉，如果这是一个愚蠢的问题，重要的是要做到这一点。