antisamy java AntiSamy_Java中文B版.doc

antisamy java AntiSamy_Java中文B版 导读：就爱阅读网友为您分享以下“AntiSamy_Java中文B版”资讯，希望对您有所帮助，感谢您对92的支持! OWASP?中文项目组???? AntiSamy是什么？ OWASP?AntiSamy项目可以有好几种定义。从技术角度看，它是一个可确保用户输入的HTML/CSS符合应用规范的API。也可以这么说，它是个确保用户无法在HTML中提交恶意代码的API，而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。在Web应用程序中，“恶意代码”通常是指Javascript。同时层叠样式表（CSS）在调用Javascript引擎的时候也会被认为是恶意代码。当然在很多情况下，一些“正常”的HTML和CSS也会被用于恶意的目的，所以我们也会对此予以处理。? 冷静地说，AntiSamy项目是违背现代安全机制的。因为出于安全考虑，安全机制和用户之间的沟通应该是单向的。而让潜在的攻击者知道验证的细节通常是不明智的，这样会让攻击者学习和探查到系统运行机制以找到薄弱环节。这种类型的信息泄露可能会造成意想不到的后果。如果一个登录系统，告诉访问者“用户名不存在”，这就泄露出一个事实：这个用户名在系统中确实不存在。攻击者可以使用一个字典，一个电话本，或者二者结合，在远程得到一个有效的用户列表。利用这些信息，攻击者可以使用暴力穷举破解进行攻击，或者引发大规模的账户锁定从而造成拒绝服务攻击。这是很常见的攻击形式。?但是，这种策略在当前的情况下并不实用。普通的互联网用户基本上都不怎么擅长写HTML和CSS，那么他们从哪儿获取自己需要的HTML代码呢？通常他们只是从其它Web页面上复制一些内容。简单地拒绝输入，而不提供任何信息，这会让用户感到烦恼和沮丧。愤怒的用户会转去别的社交网站活动。? OWASP的授权许可政策（详见OWASP网站的会员FAQ页面）允许OWASP项目在任何被批准的开源协议下发布。基于此，AntiSamy项目遵照BSD开源协议进行发布。? 作者是谁？ AntiSamy项目最早由Arshan?Dabirsiaghi?(arshan.dabirsiaghi?@?)在Jason?Li?(li.jason.c?@)的帮助下创立，他们两位都是Aspect?Security?(/)成员.? AntiSamy的Java, .Net和其它语言版本之间有什么区别？ 这个页面（/index.php/AntiSamy_Version_Differences）上你可以看到不同版本之间的大致区别。由于这是一个没有资金来源的开源项目，所以不能期待所有版本的实现与预期功能都完全一致。如果有某个版本有一些功能缺失，请告诉我们。我们会尽力满足，或者写一个补丁。? 我该如何开始？ ? OWASP?中文项目组???? 在集成AntiSamy的过程中一共有4步，每一步的详述在下一个章节。主要层次的描述如下：：? 1. 从下载AntiSamy? 2. 从标准策略文件中选择一个接近您所需的功能选项? ? ? ? ? antisamy-slashdot.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-anythinggoes.xml 3. 根据站点的需求定制策略文件 4. 在代码中调用AntiSamy的API 第一步 – 下载AntiSamy 下面的介绍主要是针对AntiSamy的 Java版本，如果你要看.Net版本，请参考。 你可以根据需要下载相应的AntiSamy包。如果你想查看代码或者扩展它的功能，那么请下载源代码包。如果要集成AntiSamy，那你可以下载lib包或者或者在你的架构中引用Maven。。如果你想用Maven，这里有一个引用AntiSamy的POM示例。如果你需要jar文件，那么下载antisamy-X.X.X.jar（在1.2版本之前有个很容易混淆的jar叫做antisamy-standalone-X.X.X.jar），它只包含了AntiSamy自身的库，适合成熟的企业级应用环境，而不用担心由于引进AntiSamy而引起classpath冲突。 对1.2之前的版本还可以选择下载antisamy-standalone-X.X.X.jar，它不仅包含了AntiSamy代码，而且也包含了所有引用的支持库。这种方式适用于这样的项目，它不会用到与AntiSamy所引用的相同支持库的项目，因而避免了classpath和版本冲突。 为了方便起见，我们在下载页面中的antisamy-required-libs.zip中包含了运行AntiSamy需要的支持库。 你可以在Google Code下载AntiSamy。 第