我正在使用Java OWASP HTML Sanitizer（HtmlPolicyBuilder）清理由第三方服务提供的在我的Web应用程序中呈现的HTML。

使用一些现成的选项，我注意到<form>标记已删除。我知道我可以在allowElements("form")中加入它们，但是有充分的理由不允许使用表格吗？

在网站上呈现其他人的表单时，我应该考虑什么样的XSS攻击？



供参考，我的消毒政策是：

new HtmlPolicyBuilder()
    .allowCommonBlockElements()
    .allowCommonInlineFormattingElements()
    .allowStyling()
    .allowStandardUrlProtocols()
    .toFactory()

网络钓鱼就是一个例子。显示用户名/密码形式，将操作参数指向攻击者的Web服务器，并诱使用户认为他们需要重新进行身份验证。同样，如果用户启用了自动填充功能，则可以使用用户名/密码详细信息自动填充表单。