清理用户提交的HTML,但保持安全嵌入的iframe
Sanitize user submitted HTML but keep safe embedded iframes
我需要清除用户输入的恶意html &CKEditor
提交。我目前使用的是owasp-java-html-sanitizer
。出于这个目的,但它也删除了嵌入的iframe。但是我有一些真正的用例,比如在帖子中嵌入YouTube视频或幻灯片共享演示。
我怎么能允许这样的嵌入式框架安全?
您需要允许iframe元素和source属性到您的Html策略。您可以像下面的例子那样做,修改自java文档
// Define the policy.
Function<HtmlStreamEventReceiver, HtmlSanitizer.Policy> policy
= new HtmlPolicyBuilder()
.allowElements("a", "p", "iframe")
.allowAttributes("href").onElements("a")
.allowAttributes("source").onElements("iframe")
.toFactory();
// Sanitize your output.
HtmlSanitizer.sanitize(myHtml, policy.apply(myHtmlStreamRenderer));
相关文章:
- 将敏感信息传递给iframe的安全方式
- 如何应对iframe安全问题
- 将消息从主 http 页面发送到 https iframe 时的安全注意事项
- 包含第三方 iFrame 的安全风险
- 防止 iframe 安全问题
- 在跨域中创建安全的iframe
- 要停止ClickJacking,哪一个更安全?突破iframe与X-Frame-Options拒绝或同源
- 绕过iframe跨域安全
- 黑客嵌入iFrame的安全风险
- 如何在iframe中显示不安全的内容
- QtWebEngine:“;不允许加载本地资源“;对于iframe,如何禁用web安全
- 书签&来自不同安全域的iFrame上的导航
- 在iframe中呈现安全内容
- 确定Iframe是否处于安全来源以允许“;强大的功能”;
- 清理用户提交的HTML,但保持安全嵌入的iframe
- 哪个更安全——iframe还是CORS——用于创建嵌入第三方网站的小部件
- 是“iframe沙盒”技术安全
- Facebook Iframe应用程序-提示安全内容,虽然我已经安装了SSL
- 使同一域iframe安全
- Chrome扩展中Iframe的不安全Javascript访问