フィードバックを送信
legacy-knowledge-base
公開されました Jul. 2, 2025

アンチサミーポートレットでHTMLターゲット属性を削除する

written-by

Christopher Lui

How To articles are not official guidelines or officially supported documentation. They are community-contributed content and may not always reflect the latest updates to Liferay DXP. We welcome your feedback to improve How To articles!

While we make every effort to ensure this Knowledge Base is accurate, it may not always reflect the most recent updates or official guidelines.We appreciate your understanding and encourage you to reach out with any feedback or concerns.

legacy-article

learn-legacy-article-disclaimer-text

AntiSamyポートレット は、XSSタイプの攻撃を防止するためのものです。 ただし、副作用として、HTMLターゲットが使用されている場合、ポートレットはコンテンツの公開時にターゲットを削除します。

再現までの手順

  1. ウェブコンテンツの作成
  2. ターゲットが_blankのリンクを埋め込む

    例:link2

  3. コンテンツを公開する。
  4. Webコンテンツ表示ポートレットでコンテンツを表示し、新しいウィンドウ/タブが開くことを確認する。
  5. AntiSamyLiferay Marketplaceからダウンロードし、導入する。
  6. ステップ1~3を繰り返します。
  7. これで、コンテンツが新しいウィンドウ/タブではなく、同じウィンドウで開かれることが確認できます。
  8. ウェブコンテンツを編集する。 ソース をクリックすると、ターゲットが削除されたことが確認できる。
  9. ターゲットを再追加し、パブリッシュします。
  10. ウェブコンテンツの編集に戻り、 ソース をクリックすると、ターゲットが再び削除されたことがわかります。

解像度

この行動は意図的なものです。 Liferayプラットフォームは、AntiSamyのデフォルトの設定XMLである sanitizer-configuration.xmlを使用していますが、デフォルトではtarget属性がXSSリスクにさらされる可能性があるため、scruveしています。

しかし、AntiSamyの設定ファイルを設定することで、target属性が機能するようにすることができます。
動作する可能性のあるxmlファイルの設定例は、こちらに記載されています: a タグの target 属性に関する XSS フィルタの問題.

カスタマイズになりますので、元のAntiSamyポートレットのバックアップをとっておくか、可能であれば拡張しておいてください。

追加情報

AntiSamyの設定方法については、OWASPのガイドを参照してください:

did-this-article-resolve-your-issue
legacy-knowledge-base
did-this-article-resolve-your-issue