Wie kann man bestimmte Zeichen mit OWASP -HTML -Desinfektionsmittel zulassen?
Posted: 05 Mar 2025, 03:37
Ich benutze das OWASP -HTML -Desinfektionsmittel, um XSS -Angriffe in meiner Web -App zu verhindern. Für viele Felder, die ein einfacher Text sein sollten, tut der Desinfektionsmittel mehr als ich erwarte. < /p>
Zum Beispiel: < /p>
Wenn ich Felder wie eine E -Mail -Adresse habe, die ein + wie foo+bar@gmail.com enthält. Am Ende habe ich die falschen Daten in der Datenbank. Also zwei Fragen: < /p>
[*] Werden Zeichen wie + - @< /code> selbst gefährlich. Müssen sie wirklich codiert werden?
Wie konfiguriere ich den OWASP -HTML -Sanitierer so, dass bestimmte Zeichen wie + - @?>
Zum Beispiel: < /p>
Code: Select all
HtmlPolicyBuilder htmlPolicyBuilder = new HtmlPolicyBuilder();
stripAllTagsPolicy = htmlPolicyBuilder.toFactory();
stripAllTagsPolicy.sanitize('a+b'); // return a+b
stripAllTagsPolicy.sanitize('foo@example.com'); // return foo@example.com
[*] Werden Zeichen wie + - @< /code> selbst gefährlich. Müssen sie wirklich codiert werden?
Wie konfiguriere ich den OWASP -HTML -Sanitierer so, dass bestimmte Zeichen wie + - @?>