OWASP HTML Sanitizer允许在HTML中使用冒号

Question

我如何允许:登录已清理的HTML？ 我用它来生成java邮件时清理HTML代码。 此代码具有内嵌图像内容ID，如<img src=\\"cid:image\\" height=\\"70\\" width=\\"70\\" /> 。 在清理时， src属性不包含在已清理的html中。

    PolicyFactory IMAGES = new HtmlPolicyBuilder().allowUrlProtocols("http", "https")
            .allowElements("img")
            .allowAttributes("src").matching(Pattern.compile("^cid[:][\\w]+$"))
            .onElements("img")
            .allowAttributes("border", "height", "width").onElements("img")
            .toFactory();

    String html = "<img src=\"cid:image\"  height=\"70\" width=\"70\" />";
    final String sanitized = IMAGES.sanitize(html);

    System.out.println(sanitized);

上面代码的输出是：

<img height="70" width="70" />

Answer 1

为什么它不起作用

或者更确切地说，为什么它“工作得太好”

默认情况下， HtmlPolicyBuilder不允许src元素中的URL协议。 这可以防止注射等

<img src="javascript:alert('xss')"/>

这可能会导致javascript:后执行脚本javascript:在这种情况下， alert('xss') ）

还有其他协议（在其他元素上）可能会导致类似的问题：

即使它不使用javascript协议，仍然可以注入base64编码的XSS注入：

<object src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="/> 

要么

 <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">Click me</a> 

因此， HtmlPolicyBuilder假定包含冒号（在某些属性中）的任何属性值都应被视为危险。

---

如何解决：

您必须使用allowUrlProtocols方法明确告诉HtmlPolicyBuilder允许cid “协议”：

    PolicyFactory IMAGES = new HtmlPolicyBuilder().allowUrlProtocols("http", "https")
            .allowElements("img")
            .allowUrlProtocols("cid") // Specifically allow "cid"
            .allowAttributes("src").matching(Pattern.compile("^cid[:][\\w]+$"))
            .onElements("img")
            .allowAttributes("border", "height", "width").onElements("img")
            .toFactory();

    String html = "<img src=\"cid:image\"  height=\"70\" width=\"70\" />";
    final String sanitized = IMAGES.sanitize(html);

    System.out.println(sanitized);

输出：

<img src="cid:image" height="70" width="70" />