本文介绍了如何使用antisamy防范XSS攻击,提供了antisamy-slashdot.xml, antisamy-ebay.xml, antisamy-myspace.xml, antisamy-anythinggoes.xml等策略文件的详细说明。这些策略文件对应不同应用场景,如 Slashdot 的严格限制,eBay 的富文本支持,MySpace 的黑名单验证,以及允许所有HTML和CSS的极端情况。通过理解并选择合适的策略文件,可以有效保护网站免受XSS攻击。"
122331949,169065,理解SSL/TLS与HTTPS:协议、作用及工作机制,"['网络安全', '协议', '加密技术', 'HTTP', 'HTTPS']
本文提及的XML策略文件下载地址:http://download.youkuaiyun.com/detail/softwave/9716400
antisamy的maven依赖:
<dependency>
<groupId>org.owasp.antisamy</groupId>
<artifactId>antisamy</artifactId>
<version>1.5.3</version>
</dependency>具体调用方法参见下图:
一般情况下,你可以在预定义的策略文件中找到一个与你站点需求大致匹配的AntiSamy策略文件。这些策略各自代表了一个典型的应用场景,来允许用户提交HTML(可能还有CSS)内容。让我们具体的看一下这些策略文件:
antisamy-slashdot.xml
Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限的HTML格式的内容匿名回帖。
Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不
最低0.47元/天 解锁文章
扫一扫
3692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
