Java: Owasp AntiSamy vs Owasp-java-html-sanitize

Question

我正在寻找html净化器库现在。我发现有两个"owasp“库。第一个是https://code.google.com/p/owasp-java-html-sanitizer/，第二个是项目。

我的问题是-比较它们的利弊是什么。

Answer 1

OWASP java html杀菌剂是比antisamy更新的项目。这些项目的目标是相同的-净化HTML，以防止XSS和过滤掉其他不必要的内容。然而，他们的做法不同。每种方法都有它的权衡，因此您应该根据您的需求选择解决方案。简单地说，html杀菌剂使用起来更简单，速度更快，另一方面，它的灵活性更低。然而，对于大多数用户来说，它应该足够好。请注意，antisamy不仅可以处理html，还可以处理css。

来自owasp邮件列表的这是消息请求创建HTML项目，包括它的一些优点和与antisamy的区别。

我想启动一个与AntiSamy非常相似的新OWASP项目。 我想把这个项目称为"OWASP Java HTML清洗剂“，并已经在以下位置提供了代码： https://code.google.com/p/owasp-java-html-sanitizer/ 这是谷歌捐赠的Caja项目的代码。它具有较高的性能和较低的内存利用率。

1. 此代码在DOM模式下提供了4X的AntiSamy消毒速度，在SAX模式下提供了2X的AntiSamy速度。
2. 非常容易使用。它允许简单的编程积极策略配置(见下文)。没有XML配置。
3. 它不受Niko HTML解析器带来的各种安全缺陷的影响。
4. 由我和谷歌AppSec团队的迈克·塞缪尔积极维护
5. 已经通过了80%的AntiSamy的单元测试加上更多。
6. 只有3个依赖的jar文件
7. 这是一个纯Java 6项目，不支持Java5或更低版本(请注意，AntiSamy支持1.4+ )。

我们目前在阿尔法现在-但将是生产准备和很快。

方案政策示例示例：

  // A VERY SIMPLE WHITELISTING POLICY     final ImmutableSet<String> okTags = ImmutableSet.of(         "a", "b", "br", "div", "i", "img", "input", "li",         "ol", "p", "span", "ul");      final ImmutableSet<String> okAttrs = ImmutableSet.of(         "div", "checked", "class", "href", "id", "target", "title", "type");

你认为如何？小小的尊重竞争是件好事吗？

• 吉姆