我有cq 5.5项目.
我想防止XSS攻击.
根据此链接, cq提供与AntiSamy项目的集成.
请提供与AntiSamy集成的具体步骤,因为我真的找不到它.
我应该在某处编写这样的代码吗?
import org.owasp.validator.html.*; Policy policy = Policy.getInstance(POLICY_FILE_LOCATION); AntiSamy as = new AntiSamy(); CleanResults cr = as.scan(dirtyInput, policy); MyUserDAO.storeUserProfile(cr.getCleanHTML()); // some custom function
rakhi4110.. 5
CQ提供的XSS保护机制已经基于AntiSamy项目.您只需提供自定义的反恶意配置,以防默认配置不符合您的需要.
默认的antisamy配置存在于/libs/cq/xssprotection/config.xml,可以与您的自定义配置重叠/apps.
您可以使用CQ中提供的XSS Protection API来保护您的网站免受安全攻击.的XSSAPI和XSSFilter类提供的各种方法,以验证所述给定值.
的xssAPI可作为对夹杂物的隐式对象/libs/foundation/global.jsp,而XSSFilter能够获得和使用,如下所示.
XSSFilter xssFilter = sling.getService(XSSFilter.class);
String filteredString = xssFilter.filter(ProtectionContext.HTML_HTML_CONTENT,
dirtyInput, POLICY_FILE_LOCATION);
您可以在此处找到一些预定义的策略文件和步骤以创建新配置.
更新:
如果您不想使用XSS API,则需要在实例中安装owasp esapi包,然后您可以使用问题中提到的代码.
CQ提供的XSS保护机制已经基于AntiSamy项目.您只需提供自定义的反恶意配置,以防默认配置不符合您的需要.
默认的antisamy配置存在于/libs/cq/xssprotection/config.xml,可以与您的自定义配置重叠/apps.
您可以使用CQ中提供的XSS Protection API来保护您的网站免受安全攻击.的XSSAPI和XSSFilter类提供的各种方法,以验证所述给定值.
的xssAPI可作为对夹杂物的隐式对象/libs/foundation/global.jsp,而XSSFilter能够获得和使用,如下所示.
XSSFilter xssFilter = sling.getService(XSSFilter.class);
String filteredString = xssFilter.filter(ProtectionContext.HTML_HTML_CONTENT,
dirtyInput, POLICY_FILE_LOCATION);
您可以在此处找到一些预定义的策略文件和步骤以创建新配置.
更新:
如果您不想使用XSS API,则需要在实例中安装owasp esapi包,然后您可以使用问题中提到的代码.
京公网安备 11010802040832号 | 京ICP备19059560号-6 