OWASP HTML Sanitizer sạch comments

Question

Tôi có ứng dụng mà khách hàng có thể lưu trữ dòng html sau đây để tải phong cách khác nhau cho trình duyệt thực tế:

<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]--> 
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]--> 
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]--> 

Ngoài ra tôi đã cấu hình OWASP policy để không cho phép thẻ html nguy hiểm theo cách sau đây:

new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory(); 

Nhưng sau khi vệ sinh if browser lines bị xóa.

Bạn có thể đề xuất cách định cấu hình chính sách để cho phép lưu trữ nội dung đó không?

Answer 1

OWASP Sanitizer không thể được định cấu hình để chấp nhận các thẻ này. Thay vào đó, bạn có thể sử dụng trình phân tích cú pháp HTML như JSoup để trích xuất các dòng này trước khi santizing, sau đó thêm chúng trở lại sau đó.