1、HTML白名单
由于标签的id属性会和淘宝官方的标签id冲突,因此所有的的标签都不支持id属性,目前Canvas标签也已经纳入支持方案中, 所有支持的标签白名单:
| apt |
| attributenamespacedef |
| available |
| bindtargets |
| ccmreconfigure |
| componentdef |
| condition |
| copy |
| copypath |
| defaultexcludes |
| delete |
| diagnostics |
| ear |
| echo |
| filter |
| gunzip |
| gzip |
| jar |
| jarlib-available |
| jarlib-display |
| jarlib-manifest |
| jarlib-resolve |
| javac |
| jlink |
| jspc |
| local |
| macrodef |
| manifest |
| manifestclasspath |
| mkdir |
| move |
| native2ascii |
| patch |
| presetdef |
| projecthelper |
| property |
| propertyfile |
| propertyhelper |
| replace |
| replaceregexp |
| resourcecount |
| retry |
| sequential |
| style |
| sync |
| taskdef |
| tstamp |
| typedef |
| unjar |
| untar |
| unwar |
| uptodate |
| verifyjar |
| war |
| xmlproperty |
| xslt |
2、CLASS命名规则
a.仅允许小写字母(a-z),数字(0-9)和横线(-),单词之间用横线连接。例:custom-module-name
b.不允许以“tb-”,"sns-",开头
c.系统白名单对于上述两条规则不适用。 系统class白名单 tb-module, J_TWidget, J_TokenSign, J_CartPluginTrigger
3、特殊元素规则
类型 |
allowScrptAccess |
allowNetworking |
SDK |
never |
none |
4、URL规则
检查域名 |
支持锚点 |
支持相对路径 |
相对路径/开头 |
检查域名 |
herf |
true |
true |
false |
false |
background |
false |
true |
true |
false |
src |
false |
true |
false |
false |
以上属性检查域名为true时,域名规则如下:
首先进行域名黑名单过滤,如果在黑名单则直接过滤,如果不在黑名单,然后再进行顶级域名白名单过滤,如果不在白名单则过滤。
顶级域名白名单如下:
aobao.com、alipay.com、alibaba.com、alimama.com、koubei.com、alisoft.com、taobaocdn.com、tbcdn.cn、tmall.com
域名黑名单:
s.click.alimama.com、gouwu.alimama.com、cam.taoke.alimama.com、tms.taoke.alimama.com、search8.taobao.com、p.alimama.com、
z.alimama.com、t.alimama.com、s.click.taobao.com、huoban.taobao.com、login.taobao.com、member1.taobao.com
