antisamy XML 简介
来源:互联网 发布:电脑版的健身软件 编辑:程序博客网 时间:2024/05/22 15:14
1) antisamy-slashdot.xml
的 HTML 格式的内容匿名回帖。Slashdot 不仅仅是目前同类中最酷的网站之一,而
且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻
击的原由是臭名昭着的 goatse.cx 图片(请你不要刻意去看)。Slashdot 的安全策略非
常严格:用户只能提交下列的 html 标签:<b>, <u>, <i>, <a>, <blockquote>,并且
还不支持 CSS.
因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来
直接修饰字体、颜色或者强调作用。
2) antisamy-ebay.xml
个面向公众的站点,因此它允许任何人发布一系列富 HTML 的内容。我们对 eBay
成为一些复杂 XSS 攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于 eBay 允许
输入的内容列表包含了比 Slashdot 更多的富文本内容,所以它的受攻击面也要大得多。下
面的标签看起来是 eBay 允许的(eBay 没有公开标签的验证规则): <a>,...
3) antisamy-myspace.xml
几乎所有的他们想用的 HTML 和 CSS,只要不包含 JavaScript。MySpace 现在用一
个黑名单来验证用户输入的 HTML,这就是为什么它曾受到 Samy 蠕虫攻击
(http://namb.la/)的原因。Samy 蠕虫攻击利用了一个本应该列入黑名单的单词(eval)
来进行组合碎片攻击的,其实这也是 AntiSamy 立项的原因。
4) antisamy-anythinggoes.xml
CSS 元素输入(但能拒绝 JavaScript 或跟 CSS 相关的网络钓鱼攻击),你可以使用
这个策略文件。其实即使 MySpace 也没有这么疯狂。然而,它确实提供了一个很
好的参考,因为它包含了对于每个元素的基本规则,所以你在裁剪其它策略文件的
时候可以把它作为一个知识库。
阅读全文
0 0
- antisamy XML 简介
- XSS防御-使用AntiSamy
- XSS防范--AntiSamy介绍
- XML简介
- XML简介
- XML简介
- XML简介
- XML简介
- XML简介
- XML简介
- XML简介
- xml简介
- XML简介
- XML简介
- XML简介
- XML 简介
- XML简介
- XML简介
- Eclipse下载、安装及添加简体中文包
- Windows下nginx配置php
- Qt之base64编码最简单程序
- 材料进出使用余额日报表
- java list统计某个元素出现的次数
- antisamy XML 简介
- Effective Java 读书笔记(一):创建和销毁对象
- 微信的第四波红利--小程序
- Ubuntu 16.04 apt-get无法自动解决依赖的解决方法
- DO、DTO和VO分层设计的好处
- 微信网页授权snsapi_base,snsapi_userinfo区别和实现
- java 初始化
- Mysql学习笔记(二)——查询性能优化(一)
- 安装matplotlib过程总结