我正在使用反samy 1.5.2版本将我的html转换为安全的html。
现在我给出了反samy扫描方法的以下代码
<a href='http://gmail.com' onclick="window.open(this.href,'','resizable=no,location=no,menubar=no,scrollbars=no,status=no,toolbar=no,fullscreen=no,dependent=no,status'); return false">gmail.com</a>
但反samy会将此转换为以下
<a href="http://javaEra.com">javaEra.com</a>
由于这个原因,我的onclick在我的应用程序中无效 所以我想要同样的代码,我已经给了反义词
任何人都可以帮助我吗?
这是我对锚标记的反samy政策文件
<tag name="a" action="validate">
<!-- onInvalid="filterTag" has been removed as per suggestion at OWASP SJ 2007 - just "name" is valid -->
<attribute name="href"/>
<attribute name="nohref">
<regexp-list>
<regexp name="anything"/>
</regexp-list>
</attribute>
<attribute name="rel">
<literal-list>
<literal value="nofollow"/>
</literal-list>
</attribute>
<attribute name="name"/>
<attribute name="target" onInvalid="filterTag">
<literal-list>
<literal value="_blank"/>
<literal value="_top"/>
<literal value="_self"/>
<literal value="_parent"/>
</literal-list>
</attribute>
</tag>
答案 0 :(得分:1)
最后我得到了这个解决方案:只需将以下属性添加到锚标签即可 在上面的代码替换如下
<tag name="a" action="validate">
<!-- onInvalid="filterTag" has been removed as per suggestion at OWASP SJ 2007 - just "name" is valid -->
<attribute name="href"/>
<attribute name="nohref">
<regexp-list>
<regexp name="anything"/>
</regexp-list>
</attribute>
<attribute name="rel">
<literal-list>
<literal value="nofollow"/>
</literal-list>
</attribute>
<attribute name="name"/>
<attribute name="target" onInvalid="filterTag">
<literal-list>
<literal value="_blank"/>
<literal value="_top"/>
<literal value="_self"/>
<literal value="_parent"/>
</literal-list>
</attribute>
<attribute name="onclick">
<regexp-list>
<regexp name="anything"/>
</regexp-list>
</attribute>
</tag>
现在正在运作。