OWASP HTML消毒劑清洗意見

Question

我有應用程序，其中客戶可以下面的HTML行存儲，以便加載實際的瀏覽器不同的風格：

<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]--> 
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]--> 
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]--> 

而且我已經配置OWASP policy批駁以下方式惡意的HTML標籤：

new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory(); 

但是在衛生方面if browser lines被丟棄。

您能否建議如何配置策略以允許存儲此類內容？

Answer 1

OWASP清潔劑不能配置爲接受這些標籤。相反，您可以使用JSoup之類的HTML解析器在santizing之前提取這些行，然後將它們添加回來。