错误:尝试使用 antisamy-tinymce.xml OWASP 时抛出 FileNotFound

Error: FileNotFound thrown while trying to use antisamy-tinymce.xml OWASP

提问人:Gafar 提问时间:9/14/2023 最后编辑:Gafar 更新时间:9/22/2023 访问量:35

问:

我正在处理一个从用户那里获取 html 并持久化到数据库的项目。当前的实现容易受到 XSS 攻击。

为了防止这种攻击,我正在尝试实现 OWASP Antisamy,如下所示,但我收到了我下载并放入项目资源目录中的策略的 fileNotFoundError。

法典

//sanitize welcomeMessage
try {
    Policy policy = Policy.getInstance(new File("antisamy-tinymce.xml"));
    AntiSamy as = new AntiSamy();
    CleanResults cr = as.scan(welcomeMessage, policy);
    preferences.setWelcomeMessage(cr.getCleanHTML());
} catch (PolicyException | ScanException e) {
    FacesContext.getCurrentInstance().addMessage(null, new FacesMessage(FacesMessage.SEVERITY_WARN, "Invalid Welcome Message", e.getMessage()));
    return;
}

项目结构

.
└── src/
    └── main/
        └── resources/
            ├── antisamy-tinymce.xml

有什么迹象表明我可能做错了什么吗?

我尝试使用antisamy-tinymce.xml文件的绝对路径,但是在部署到应用程序服务器时不起作用。

java html owasp 反萨米亚

评论

0赞 Kevin W. Wall 9/18/2023
我建议您在此处删除“esapi”标签,因为这不是ESAPI问题。您直接使用 AntiSamy。我建议你给一个或两个 AntiSamy 维护者发电子邮件。您可以在右侧列出的“领导者”下找到他们的电子邮件地址 owasp.org/www-project-antisamy。也许添加一个“反萨米”标签,以防有人在关注它。不过,我真的不想查看他们的代码以了解它如何找到资源,所以请询问他们。
0赞 Gafar 9/23/2023
经过多次尝试,不幸的是它没有。但是,我找到了一个更好的解决方案 stackoverflow.com/questions/3413297/......

答: 暂无答案

上一个:如何使用身份验证运行 Zap 主动扫描?

下一个:SPA:客户端会话处理与 PKCE 的 OAuth 授权代码流相结合