个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我有 cq 5.5 项目。
我想防止 XSS 攻击。
根据这个link cq 提供与 AntiSamy 项目的集成。
请提供与AntiSamy集成的具体步骤,因为我实在找不到。
我应该在某处编写这样的代码吗?
import org.owasp.validator.html.*;
Policy policy = Policy.getInstance(POLICY_FILE_LOCATION);
AntiSamy as = new AntiSamy();
CleanResults cr = as.scan(dirtyInput, policy);
MyUserDAO.storeUserProfile(cr.getCleanHTML()); // some custom function
最佳答案
CQ提供的XSS防护机制已经基于AntiSamy Project。您只需提供您的自定义反同配置,以防默认配置不满足您的需求。
默认的反同配置存在于 /libs/cq/xssprotection/config.xml 中,可以用 /apps 中的自定义配置覆盖它。
您可以使用 CQ 中提供的 XSS 保护 API 来保护您的网站免受安全攻击。 XSSAPI和 XSSFilter类提供各种方法来验证给定的值。
xssAPI 可作为包含在 /libs/foundation/global.jsp 中的隐式对象使用,而 XSSFilter 可以如下所示获取和使用。
XSSFilter xssFilter = sling.getService(XSSFilter.class);
String filteredString = xssFilter.filter(ProtectionContext.HTML_HTML_CONTENT,
dirtyInput, POLICY_FILE_LOCATION);
您可以找到一些预定义的策略文件和创建新配置的步骤 here .
更新:
如果你不想使用 XSS API,那么你需要在你的实例中安装 owasp esapi 包,然后你可以使用问题中提到的代码。
关于xss - 如何在 cq 5.5 中配置 antisamy?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24800295/
24
4
0
当我尝试通过 antisammy 扫描 html 标签时,它给出了奇怪的输出。它将单引号转换为双引号。 CleanResults cr = as.scan(dirtyContent, policy);
我有一个场景,我通过 AntiSamy 标记传递字符串。字符串是 . String dirtyContent = "testtesting"; CleanResults cr = as.scan(di
我使用 Antisamy 来验证 HTML。我的政策允许 iframe,例如 youtube 视频。问题是 - 如果标签为空(像这样): 清洗后是这样的: 但它应该有正常的结束标签。 这会破坏页面
我将 AntiSamy 与可用的 antisamy-1.4.1.xml 策略一起使用。该策略可以很好地阻止大多数 XSS 攻击,但以下内容并未被阻止。有关如何阻止以下内容以防止 XSS 攻击的任何建议
清理脏输入后,Antisamy 会在前面添加新行字符 "\n" 并用 "\n" 替换 "" 空格。我正在使用 antisamy 1.5.3 jar。 例如:下面是清理 json 后的输出 "\n{\"
我正在对从 tinymce 编辑器获得的文本使用反义词。 我正在使用来自 owaspantisam 的“antisamy-tinymce-1.4.4.xml”文件. (作为策略文件)。 我的问题是它破
我在 JAVA 项目中使用 OWASP AntiSamy,但每次我尝试使用包含\n 字符的字符串调用方法 getCleanHTML() 时,该方法都会替换为空格“”。我已经尝试更改 XML 文件中的规
我正在尝试使用 AntiSamy 来防止我的网站受到 XSS 攻击。我下载了以下 jar 并将它们添加到“/WEB-INF/lib” antisamy-1.5.3.jar nekohtml.jar x
我正在一个新项目中使用 antisamy,以防止 xss 漏洞。在应用程序中,用户可以通过简单(ansi 编码)的 Excel 文件上传内容。应该可以插入一些 html,但不可能插入 javascri
我想修改 Sakai 的已部署安装,以允许来自多个校园媒体服务器的 iframe。 iframe 的一个示例是 https://mediaserver.example.edu/p/player.htm
在遇到 antisamy 项目之前,我试图编写自己的过滤器,该项目允许您配置和防止 XSS 攻击。但我只是想知道是否可以使用同样的方法来防止sql注入(inject)攻击? 任何人已经实现了 anti
在 antisamy xml 配置中,这是我设置的: 除了带有井号/井号的链接之外,这似乎有效。 例如:http://examplewebsite.com/example#section 使用上述正
我有一个字符串,我想验证它是否是有效的 CSS 值。在 AntiSamy 的文档中,我发现我可以使用 CSSValidator.isValidProperty ( http://javadox.com
我在我的 ColdFusion 项目中使用 antiSami。我像这样通过 onApplicationStart() 加载 antiSami: local.jarsArray = [ expa
基本上我有一个网络应用程序,它目前容易受到 XSS 攻击。根据我的研究,我发现 AntiSamy 是一个很好的开放图书馆,可以提供帮助。所以我下载了库 .jar 文件,即 antisamy-1.5.1
我正在研究如何将 AntiSamy 与 CQ5 集成。到目前为止我的步骤是: 检查 CQ 实例是否在此 CRX 路径 /libs/cq/xssprotection/config.xml 中包含一个文件
我有 cq 5.5 项目。 我想防止 XSS 攻击。 根据这个link cq 提供与 AntiSamy 项目的集成。 请提供与AntiSamy集成的具体步骤,因为我实在找不到。 更新 我应该在某处编写
我使用 Owasp Anti samy 和 Ebay 策略文件来防止对我的网站的 XSS 攻击。 我还使用 Hibernate 搜索来索引我的对象。 当我使用这段代码时: String html =
我需要更新位于 ColdFusion11\cfusion\lib 的 OWASP AntiSamy jar 文件 当前的文件是 antisamy-1.4.4.jar 但我想将其更新到最新版本 anti
我现在正在寻找 html 净化器库。而且我发现有两个“owasp”库。首先是 https://code.google.com/p/owasp-java-html-sanitizer/第二个是https
我是一名优秀的程序员,十分优秀!