owasp html清理程序中的isValid()方法
[英]isValid() method in owasp html sanitizer
问题描述
我的应用程序中有一个页面,用户可以在其中输入HTML输入。 现在,为了避免XSS攻击,我正在使用OWASP HTML Sanitizer来清理用户输入。 如果根据政策用户输入无效,我只是想把用户赶出去。
有没有一种方法可以简单地检查输入的html是否对策略有效而不进行消毒?
就像是
public static boolean isValid(String input,Policy policy);
1 个解决方案
解决方案1
0 2014-11-20 17:12:52
您可以定义自己的isValid方法,但不确定在不调用sanitize方法的情况下是否可以这样做。
// Define the policy factory
PolicyFactory polFac = new HtmlPolicyBuilder()
.allowElements("a", "p")
.allowAttributes("href").onElements("a")
.toFactory();
boolean isValid(String input, PolicyFactory polFac){
return input.equals(polFac.sanitize(input));
}
您可以使用第二个版本的sanitize方法(在PolicyFactory类中)获得isValid的更强大版本,该方法报告拒绝的元素和属性的名称。
Java-Owasp Html Sanitizer显示URL的双重noopener noreferrer
[英]Java - Owasp Html Sanitizer shows double noopener noreferrer for url
如何报告是否使用OWASP Java HTML Sanitizer清理了输入
[英]How to report if input is sanitized with OWASP Java HTML Sanitizer
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
OWASP HTML Sanitizer清除评论
OWASP HTML Sanitizer允许在HTML中使用冒号
XSS-OWASP HTML Sanitizer过滤器<form>
带有 owasp-java-html-sanitizer 的嵌入式 CSS
如何使用OWASP HTML Sanitizer允许特定字符?
OWASP html清洁剂 - 为什么它会覆盖一些实体?
Java-Owasp Html Sanitizer显示URL的双重noopener noreferrer
OWASP java-html-sanitizer-未封闭标签的策略
如何报告是否使用OWASP Java HTML Sanitizer清理了输入
使用owasp-java-html-sanitizer进行链接提取
相关标签