OWASP HTML消毒剂清洗意见
问题描述:
我有应用程序,其中客户可以下面的HTML行存储,以便加载实际的浏览器不同的风格:OWASP HTML消毒剂清洗意见
<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]-->
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]-->
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]-->
而且我已经配置OWASP policy
批驳以下方式恶意的HTML标签:
new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory();
但是在卫生方面if browser lines
被丢弃。
您能否建议如何配置策略以允许存储此类内容?
答
OWASP清洁剂不能配置为接受这些标签。相反,您可以使用JSoup之类的HTML解析器在santizing之前提取这些行,然后将它们添加回来。