如何检查AntiSamy是否正在我的CQ实例上运行？

Question

我正在研究如何将AntiSamy与CQ5集成。到目前为止，我的步骤是：

1. 检查CQ实例是否包含此CRX路径/libs/cq/xssprotection/config.xml的文件，该文件定义了AntiSamy的配置。

2. 下载3rd-party bundle (esapi 2.0GA)并将其安装到CQ。完成此步骤后，捆绑包处于installed状态（不是active）。

3. 要激活上面的包，我安装了这个依赖项列表：

   • AntiSamy v1.4.5_1
   • Commons BeanUtils v1.8.3_2
   • Commons Configuration v1.4_4
   • Xerces v2.11.0_1
   • XML Resolver v1.2_1

我的问题：

1. CQ5是否提供了我可能整合的整个软件包 下载为一个完整的包，AntiSamy将起作用吗？
2. 如何检查AntiSamy是否正常工作？我应该注意哪些迹象？
3. 我是否需要编写任何Java代码（例如与HTML过滤相关）或 CQ5不费力地调用它？

Answer 1

AntiSamy lib嵌入到cq-xssprotection包中并由其服务使用，包括5.5版本和5.6版本。对此jar的反编译证明，如果它覆盖，则cq/xssprotection/config或/libs使用/apps配置。

我的cq实例已经包含了cq-xssprotection包。如果您没有开箱即用，可以尝试从this adobe repository link

下载

与问题3相关的信息：我已经阅读了这个主题adobe forum link，我可以解决我应该编写的Java代码使用XSSAPI。

如何编写此代码？

我找到了这个xss Cheat Sheet

更新

cq-xssprotection bundle pom.xml片段：

...
<name>Day Communique 5 XSS Protection</name>
<description>
    CQ5 platform bundle for providing XSS protection using the AntiSamy library.
</description>
...
<dependencies>
    <dependency>
       <groupId>org.owasp</groupId>
       <artifactId>antisamy</artifactId>
       <version>1.4</version>
    </dependency>
...