- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我现在正在寻找 html 净化器库。而且我发现有两个“owasp”库。首先是 https://code.google.com/p/owasp-java-html-sanitizer/第二个是https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project .
我的问题是 - 比较它们的优缺点是什么。
最佳答案
OWASP java html sanitizer 是比 antisamy 更新的项目。这些项目的目标是相同的——清理 HTML 以防止 XSS 并过滤掉其他不需要的内容。然而他们的方法是不同的。每种方法都有其权衡,因此您应该根据您的要求选择解决方案。简而言之,html sanitizer 使用起来更简单,速度更快,另一方面,它的灵 active 较低。但是对于大多数用户来说应该足够好了。请注意,antisamy 不仅可以处理 html,还可以处理 css。
Here is message来自 owasp 邮件列表,请求创建 HTML sanitizer 项目,包括它的一些优点和与 antisamy 的区别的列表。
I would like to start a new OWASP project that is very similar to AntiSamy.
I would like to call this project the "OWASP Java HTML Sanitizer" and have code available already at:
https://code.google.com/p/owasp-java-html-sanitizer/
This is code from the Caja project that was donated by Google. It is rather high performance and low memory utilization.
- This code provides 4X the speed of AntiSamy sanitization in DOM mode and 2X the speed of AntiSamy in SAX mode
- Very easy to use. It allows for simple programmatic POSITIVE policy configuration (see below). No XML config.
- It does not suffer from the various security flaws that the Niko HTML parser brought with it
- Actively maintained by myself and Mike Samuel from Google's AppSec team
- Already passing 80% of AntiSamy's unit tests plus many more.
- Only 3 dependent jar files
- This is a pure Java 6 project and does not support Java 5 or below ( Please note AntiSamy supports 1.4+ ).
We are currently at Alpha right now - but will be production ready and soon.
Sample programmatic policy example:
// A VERY SIMPLE WHITELISTING POLICY
final ImmutableSet<String> okTags = ImmutableSet.of(
"a", "b", "br", "div", "i", "img", "input", "li",
"ol", "p", "span", "ul");
final ImmutableSet<String> okAttrs = ImmutableSet.of(
"div", "checked", "class", "href", "id", "target", "title", "type");What do you think? Is a little respectful competition a good thing?
- Jim
关于Java:Owasp AntiSamy 与 Owasp-java-html-sanitize,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28577738/
当我尝试通过 antisammy 扫描 html 标签时,它给出了奇怪的输出。它将单引号转换为双引号。 CleanResults cr = as.scan(dirtyContent, policy);
我有一个场景,我通过 AntiSamy 标记传递字符串。字符串是 . String dirtyContent = "testtesting"; CleanResults cr = as.scan(di
我使用 Antisamy 来验证 HTML。我的政策允许 iframe,例如 youtube 视频。问题是 - 如果标签为空(像这样): 清洗后是这样的: 但它应该有正常的结束标签。 这会破坏页面
我将 AntiSamy 与可用的 antisamy-1.4.1.xml 策略一起使用。该策略可以很好地阻止大多数 XSS 攻击,但以下内容并未被阻止。有关如何阻止以下内容以防止 XSS 攻击的任何建议
清理脏输入后,Antisamy 会在前面添加新行字符 "\n" 并用 "\n" 替换 "" 空格。我正在使用 antisamy 1.5.3 jar。 例如:下面是清理 json 后的输出 "\n{\"
我正在对从 tinymce 编辑器获得的文本使用反义词。 我正在使用来自 owaspantisam 的“antisamy-tinymce-1.4.4.xml”文件. (作为策略文件)。 我的问题是它破
我在 JAVA 项目中使用 OWASP AntiSamy,但每次我尝试使用包含\n 字符的字符串调用方法 getCleanHTML() 时,该方法都会替换为空格“”。我已经尝试更改 XML 文件中的规
我正在尝试使用 AntiSamy 来防止我的网站受到 XSS 攻击。我下载了以下 jar 并将它们添加到“/WEB-INF/lib” antisamy-1.5.3.jar nekohtml.jar x
我正在一个新项目中使用 antisamy,以防止 xss 漏洞。在应用程序中,用户可以通过简单(ansi 编码)的 Excel 文件上传内容。应该可以插入一些 html,但不可能插入 javascri
我想修改 Sakai 的已部署安装,以允许来自多个校园媒体服务器的 iframe。 iframe 的一个示例是 https://mediaserver.example.edu/p/player.htm
在遇到 antisamy 项目之前,我试图编写自己的过滤器,该项目允许您配置和防止 XSS 攻击。但我只是想知道是否可以使用同样的方法来防止sql注入(inject)攻击? 任何人已经实现了 anti
在 antisamy xml 配置中,这是我设置的: 除了带有井号/井号的链接之外,这似乎有效。 例如:http://examplewebsite.com/example#section 使用上述正
我有一个字符串,我想验证它是否是有效的 CSS 值。在 AntiSamy 的文档中,我发现我可以使用 CSSValidator.isValidProperty ( http://javadox.com
我在我的 ColdFusion 项目中使用 antiSami。我像这样通过 onApplicationStart() 加载 antiSami: local.jarsArray = [ expa
基本上我有一个网络应用程序,它目前容易受到 XSS 攻击。根据我的研究,我发现 AntiSamy 是一个很好的开放图书馆,可以提供帮助。所以我下载了库 .jar 文件,即 antisamy-1.5.1
我正在研究如何将 AntiSamy 与 CQ5 集成。到目前为止我的步骤是: 检查 CQ 实例是否在此 CRX 路径 /libs/cq/xssprotection/config.xml 中包含一个文件
我有 cq 5.5 项目。 我想防止 XSS 攻击。 根据这个link cq 提供与 AntiSamy 项目的集成。 请提供与AntiSamy集成的具体步骤,因为我实在找不到。 更新 我应该在某处编写
我使用 Owasp Anti samy 和 Ebay 策略文件来防止对我的网站的 XSS 攻击。 我还使用 Hibernate 搜索来索引我的对象。 当我使用这段代码时: String html =
我需要更新位于 ColdFusion11\cfusion\lib 的 OWASP AntiSamy jar 文件 当前的文件是 antisamy-1.4.4.jar 但我想将其更新到最新版本 anti
我现在正在寻找 html 净化器库。而且我发现有两个“owasp”库。首先是 https://code.google.com/p/owasp-java-html-sanitizer/第二个是https
我是一名优秀的程序员,十分优秀!