Описание тега antisamy

Antisamy - это API, обеспечивающий соответствие предоставленного пользователем HTML/CSS правилам приложения. Другой способ сказать, что это может быть: это API, который помогает вам убедиться, что клиенты не предоставляют вредоносный код груза в HTML, который они предоставляют для своего профиля, комментариев и т. Д., Которые сохраняются на сервере. Термин "вредоносный код" применительно к веб-приложениям обычно означает "JavaScript". Каскадные таблицы стилей считаются вредоносными только тогда, когда они вызывают механизм JavaScript. Однако есть много ситуаций, когда "нормальный" HTML и CSS могут использоваться злонамеренно. Так что мы тоже об этом позаботимся.

С философской точки зрения AntiSamy - это отход от современных механизмов безопасности. Как правило, между механизмом безопасности и пользователем существует практически односторонняя связь по уважительной причине. Сообщать потенциальному злоумышленнику подробности о проверке считается неразумным, поскольку это позволяет злоумышленнику "изучить" и "проанализировать" механизм на наличие слабых мест. Утечки информации такого типа могут нанести неожиданный вред. Механизм входа в систему, который сообщает пользователю: "Имя пользователя недействительно", раскрывает тот факт, что пользователя с таким именем не существует. Пользователь может использовать словарь или телефонную книгу или и то, и другое, чтобы удаленно составить список допустимых имен пользователей. Используя эту информацию, злоумышленник может запустить атаку методом грубой силы или отказ в обслуживании с массовой блокировкой учетной записи. Мы это понимаем.

К сожалению, в данной ситуации это не очень удобно. Типичные пользователи Интернета в значительной степени плохо пишут HTML/CSS, так откуда же они берут свой HTML? Обычно они копируют его откуда-то из Интернета. Просто отклонить их ввод, не имея ни малейшего представления о том, почему это так раздражает и раздражает. Раздраженные пользователи уходят в другое место, чтобы заняться своими социальными сетями.