Wie eingebettete Bilder zu ermöglichen, wenn html mit OWASP Java HTML Sanitizer

Question

desinfizierenden würde ich erlauben mag:

<img src="data:image/jpg;base64,..."/> 

Ich sehe there's documentation on how to do this aber ich verstehe nicht, wie es zu implementieren. Ich habe versucht, das Muster

.allowUrlProtocols("data") 
.allowAttributes("src").matching(Pattern.compile("$data:image.*")).onElements("img") 

hinzuzufügen, aber das hat nicht funktioniert. Ich verstehe, dass das Muster ein Regexausdruck sein muss, aber ich bin nicht sicher, dass ich verstehe, wie es alles verbindet. Ich bekomme, dass es versucht, nach img-Tags zu suchen, und schaut sich dann das src-Attribut an. Mein Verständnis ist, dass es dann nach den String-Daten suchen soll: image und ob das Finds durchlässt. Aber das ist nicht passiert ...

Answer 1

Das Problem ist, dass ich hatte:

private static final PolicyFactory POLICY_DEFINITION = new HtmlPolicyBuilder() 
    .allowUrlProtocols("data") 
    .allowAttributes("src").matching(ONSITE_OR_OFFSITE_URL).onElements("img") 
    .allowAttributes("src").matching(Pattern.compile("^.*data:image/.*$")).onElements("img") 
    .toFactory(); 

Dies verursacht ein Problem, dass ich allowAttribute angenommen würde beides kombinieren. Stattdessen, was Sie tun müssen, ist, oder die Musterabgleich (für was auch immer Muster, das Sie passen wollen), wie in:

Pattern EMBEDDED_IMAGE = Pattern.compile("^.*data:image/.*$") 
ONSITE_OR_OFFSITE_URL_OR_EMBEDDED_IMAGE = matchesEither(ONSITE_URL, OFFSITE_URL, EMBEDDED_IMAGE); 

private static final PolicyFactory POLICY_DEFINITION = new HtmlPolicyBuilder() 
    .allowUrlProtocols("data") 
    .allowAttributes("src").matching(ONSITE_OR_OFFSITE_URL_OR_EMBEDDED_IMAGE).onElements("img") 
    .toFactory(); 

Dieser Code setzt voraus, Sie verwenden die EbayPolicyExample