如何不通過owasp antisamy將特殊字符轉換爲html實體

Question

我使用Owasp反薩米與易趣政策文件來防止我的網站上的XSS攻擊。

我也使用Hibernate搜索索引我的對象。

當我使用此代碼：

String html = "special word: été";  

// use the Ebay configuration file  
Policy policy = Policy.getInstance(xssPolicyFile.getInputStream()); 

AntiSamy as = new AntiSamy(); 
CleanResults cr = as.scan(html, policy); 

// result is now : "special word: été" 
result = cr.getCleanHTML(); 

正如你所看到的所有字符「é」已經轉化爲他們的HTML實體相當於「é」

我的頁面是UTF-8，所以我不需要這種轉變。而且，當我用Hibernate Search索引這個文本時，它會用html實體索引這個單詞，所以我在索引中找不到單詞「été」。

如何強制antisamy不將特殊字符轉換爲他們的html實體等效？

感謝

PS：問題已經開通：http://code.google.com/p/owaspantisamy/issues/detail?id=99

Answer 1

像穆罕默德說，在評論，Antisamy剛剛發佈了一個名爲新的指令：entityEncodeIntlChars

這裏的細節：http://code.google.com/p/owaspantisamy/source/detail?r=240

看來，這個指令解決了這個問題。

Answer 2

淘AntiSamy源代碼後，我發現無論從修改AntiSamy除了改變這種行爲方式。

Answer 3

退房這一個：http://code.google.com/p/owaspantisamy/source/browse/#svn/trunk/dotNet/current/source/owaspantisamy/html/scan

抓住源頭，並注意重點班（AntiSamyDOMScanner，CleanResults）使用標準架構對象（如XmlDocument的）。編譯並使用您編譯的二進制文件運行 - 以便您可以在調試器中看到所有內容 - 就像哪個主要類實際上破壞了您的數據一樣。有了這些，你可以改變主要對象的一些屬性，使其停止或注入自己的後處理來恢復錯誤行爲（比如用正則表達式）。後者可以公開，作爲額外的頂級物業，說一個名叫NoMess :-)

機會是在這方面，這種行爲是語言（在樹幹有3），但同樣的戰術之間的不同將工作無論哪個你必須處理的一件事。

Answer 4

今天早上我遇到了同樣的問題。

我在一個類中封裝了antisamy，我使用apache Common-lang中的apache StringEscapeUtil來恢復特殊字符。

CleanResults cleanResults = antiSamy.scan(taintedHtml); 
cleanedHtml = cleanResults.getCleanHTML(); 
return StringEscapeUtils.unescapeHtml(cleanedHtml) 

結果是沒有HTML轉義特殊字符的清理HTML。

希望這會有所幫助。