Мобильная версияДезинфицирующее средство OWASP дает неожиданные результаты ⇐ JAVA
-
Гость
Дезинфицирующее средство OWASP дает неожиданные результаты
Я использую дезинфицирующее средство OWASP для очистки входных данных. Ниже представлена политика, которую я использовал
возвращает новый HtmlPolicyBuilder() .allowElements("a", "label", "h1", "h2", "h3", "h4", "h5", "h6", «п», «я», «б», «у», «сильный», «эм», «маленький», «большой», «предварительный», «код», «цитировать», «самп», «суб», «суп», «страйк», «центр», «блок-цитата», "hr", "br", "col", "font", "span", "div", "img", «ул», «ол», «ли», «дд», «дт», «дл», «тбоди», «голова», «фут», «таблица», «td», «th», «tr», «группа колец», «набор полей», «легенда») .allowAttributes("src", "alt", "align", "title", "hspace", "vspace").onElements("img") .allowAttributes("href", "target").onElements("a") .allowAttributes("border", "cellpadding", "cellspacing", "style", "class").onElements("table") .allowAttributes("colspan", "rowspan", "style", "class", "align", "valign").onElements("td") .allowAttributes("граница", "высота", "ширина").globally() .allowStandardUrlProtocols() .requireRelNofollowOnLinks() .allowStyling() .toFactory(); Поэтому, когда я вводю test, я ожидаю, что он вернет мне тот же результат, потому что я разрешаю тег «a». Однако он возвращает только «тест». Вот мой градиент
Группа компиляции: «com.googlecode.owasp-java-html-sanitizer», имя: «owasp-java-html-sanitizer», версия: «20191001.1»
Я также попробовал disallowAttributes("script"). Это тоже не сработало. Есть идеи? Спасибо.
Я использую дезинфицирующее средство OWASP для очистки входных данных. Ниже представлена политика, которую я использовал
возвращает новый HtmlPolicyBuilder() .allowElements("a", "label", "h1", "h2", "h3", "h4", "h5", "h6", «п», «я», «б», «у», «сильный», «эм», «маленький», «большой», «предварительный», «код», «цитировать», «самп», «суб», «суп», «страйк», «центр», «блок-цитата», "hr", "br", "col", "font", "span", "div", "img", «ул», «ол», «ли», «дд», «дт», «дл», «тбоди», «голова», «фут», «таблица», «td», «th», «tr», «группа колец», «набор полей», «легенда») .allowAttributes("src", "alt", "align", "title", "hspace", "vspace").onElements("img") .allowAttributes("href", "target").onElements("a") .allowAttributes("border", "cellpadding", "cellspacing", "style", "class").onElements("table") .allowAttributes("colspan", "rowspan", "style", "class", "align", "valign").onElements("td") .allowAttributes("граница", "высота", "ширина").globally() .allowStandardUrlProtocols() .requireRelNofollowOnLinks() .allowStyling() .toFactory(); Поэтому, когда я вводю test, я ожидаю, что он вернет мне тот же результат, потому что я разрешаю тег «a». Однако он возвращает только «тест». Вот мой градиент
Группа компиляции: «com.googlecode.owasp-java-html-sanitizer», имя: «owasp-java-html-sanitizer», версия: «20191001.1»
Я также попробовал disallowAttributes("script"). Это тоже не сработало. Есть идеи? Спасибо.
