我正在开发一个允许用户提交html / css的项目,我们将使用该代码创建一个pdf。我们有代码工作,但我想清理正在进入的数据以防止任何攻击。有一种方法可以通过以下方式清理内联css: http://javadox.com/com.googlecode.owasp-java-html-sanitizer/owasp-java-html-sanitizer/r223/javadoc/org/owasp/html/HtmlPolicyBuilder.html#allowStyling(org.owasp.html.CssSchema)
但是有什么可以用来检查样式标签中的任何内容吗?我确实意识到嵌入式CSS很难检查,但我在谷歌搜索中找不到任何关于这个主题的内容。 CssSchema似乎检查了我需要的每个属性,我只是不能将它应用于样式标签之间的内容?
答案 0 :(得分:1)
我的问题的答案是使用AntiSamy。 http://atetric.com/atetric/javadoc/org.owasp.antisamy/antisamy/1.5.3/org/owasp/validator/css/CssScanner.html 这堂课给了我所需要的一切。它允许我扫描外部,嵌入和内联css。我目前正在使用内联,因为我认为我必须单独提取每个内联元素。我确实要删除Style标签以便将CssScanner与scanStyleSheet一起使用,但它确实有效。