html - 如何在 OWASP Java HTML Sanitizer 中包含 PolicyBuilder 中的所有元素

标签 html owasp antisamy

有什么方法可以允许策略中的所有内容,然后我只需 .disallow() 几个我知道会导致问题的元素和属性。 例如,不要执行“

 PolicyFactory policy = new HtmlPolicyBuilder()
                .allowElements("table", "tr", "td", "href", "body", "th", "font", "button", "input", "select")

我能做到

 PolicyFactory policy = new HtmlPolicyBuilder()
                .allowElements(Include all elements)

注意:我不想使用 Antisamy。

最佳答案

这是不可能的,因为 OWASP Java HTML Sanitizer 是白名单过滤器,而不是黑名单过滤器。

默认情况下, sanitizer 不允许所有内容,您必须知道您希望应用程序接收什么。

关于html - 如何在 OWASP Java HTML Sanitizer 中包含 PolicyBuilder 中的所有元素,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53373801/

上一篇:trace - 获取 eBPF 中被调用函数的名称

下一篇:php - 如何在用户文本字段输入后自动添加值

相关文章:

java - 允许某些字符不受 ESAPI 编码器的影响吗?

regex - YouTube网址-正则表达式

HTML 和 CSS : placing the Google +1 button makes it impossible to add space between elements

PHP 和 mysql 表

security - NVD JSON 提要、标签含义及其用途

java - Struts 中有哪些可用的安全功能?

javascript - 使用数组检查单选形式的多个答案

javascript - 如何在 html 5 中嵌入日历?

xml - 自定义 Antisamy 策略 xml 以允许更多 html 和 grails 标签

java - AntiSamy 可以防止 Java 中的 XSS?

©2024 IT工具网  联系我们