如何在cq 5.5中配置antisamy？

Question

我有cq 5.5项目。

我想防止XSS攻击。

据此，链接 cq提供了与AntiSamy项目的集成。

请提供与AntiSamy集成的具体步骤，因为我真的找不到它。

更新

我应该在某个地方写这样的代码吗？

import org.owasp.validator.html.*;

Policy policy = Policy.getInstance(POLICY_FILE_LOCATION);

AntiSamy as = new AntiSamy();
CleanResults cr = as.scan(dirtyInput, policy);

MyUserDAO.storeUserProfile(cr.getCleanHTML()); // some custom function

Answer 1

CQ提供的XSS保护机制已经建立在AntiSamy项目的基础上。如果默认配置不适合您的需要，您只需要提供自定义的反case配置。

默认的antisamy配置出现在/libs/cq/xssprotection/config.xml中，可以在/apps中使用您的自定义配置进行覆盖。

您可以使用CQ中提供的来保护您的网站免受安全攻击。XSSAPI和XSSFilter类提供了各种方法来验证给定的值。

xssAPI可以作为包含/libs/foundation/global.jsp的隐式对象使用，而XSSFilter可以获得并使用如下所示。

XSSFilter xssFilter = sling.getService(XSSFilter.class);
String filteredString = xssFilter.filter(ProtectionContext.HTML_HTML_CONTENT,
                            dirtyInput, POLICY_FILE_LOCATION); 

您可以找到一些预定义的策略文件和步骤来创建新的配置这里。

更新：

如果不想使用XSS，则需要在实例中安装owasp包，然后可以使用问题中提到的代码。