OWASP HTML消毒剂清洗意见

Question

我有应用程序，其中客户可以下面的HTML行存储，以便加载实际的浏览器不同的风格：

<!--[if IE 6]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie6.css"><![endif]--> 
<!--[if IE 7]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie7.css"><![endif]--> 
<!--[if IE 8]><link rel="stylesheet" type="text/css" media="all" href="default/css/general_ie8.css"><![endif]--> 

而且我已经配置OWASP policy批驳以下方式恶意的HTML标签：

new HtmlPolicyBuilder().allowElements("link").allowAttributes("rel", "type", "media", "href").onElements("link").toFactory(); 

但是在卫生方面if browser lines被丢弃。

您能否建议如何配置策略以允许存储此类内容？

Answer 1

OWASP清洁剂不能配置为接受这些标签。相反，您可以使用JSoup之类的HTML解析器在santizing之前提取这些行，然后将它们添加回来。