なぜブラックリスト信頼アプローチではなく、OWASPがHTMLをホワイトリストに登録するのですか？

Question

私はJSoupを見て、OWASP Java HTML sanitizer projectよ

悪い用語を更新しました。 API層に渡されたユーザー入力を消毒してXSS攻撃を防止する目的で、私はこのようなツールに興味があります。 OWASPプロジェクトによれば、

「AntiSamyのユニットテストに95 +％以上のテストを加えただけです。

しかし、私はこれらのテストを自分で見ることはできません。これらのテストは何をカバーしていますか？もっと簡単に言えば、これらのツールが信頼をホワイトリストに設定する理由を知りたいのですが。

ホワイトリストとブラックリストを選択する理由があると確信しています。私はscriptのような既知のXSSの安全でないタグと、on*のような属性だけを許可しません。ブラックリストアプローチは可能ではないようです。

私は推論がこれにどのようなものであるかを知る必要があり、それはテストにあると思われます。たとえば、styleタグを許可しない理由は何ですか？ XSSの面で危険ですか、それとも他の理由で存在しますか？ （styleはコメントで述べたようにXSSは安全ではないかもしれません：XSS attacks and style attributes）

他のタグのXSSの安全でない正当な理由を探しています。ユニットテスト自体は、誰かがそれらを見つける場所を知っていれば十分であるはずです。十分な安全でないタグがあれば、ホワイトリストのアプローチが必要な理由がわかります。

Answer 1

元の反反証テストはAntiSamyTest (antisamy)です。

これらは、AntiSamyTest (owasp)のowaspに適合しました。

は、彼らには、例えば、異なるHTMLフラグメントに対してテストが含まれています。

assertSanitizedDoesNotContain("<TABLE BACKGROUND=\"javascript:alert('XSS')\">", "background"); 

assertSanitizedDoesNotContain("<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K\">", "<meta"); 

は、いくつかの例についてはXSS Evasion Cheat Sheetを参照してください。

ブラックリストを試しましたが、ブラックリストをバイパスするために使用する新しいタグや属性を見つけ出しました。不正なHTMLやその他のエンコーディングはバイパスフィルタで使用され、ブラックリストは非実用的でした。したがって、デフォルトの前提は、タグ、属性、またはスタイルが安全であると明示的に指定されていない場合、安全でないということです。これは、私たちがすでに知っているxss攻撃に対してだけでなく、多くの新しいtyesに対しても保護します。