为了逃避跨站点脚本攻击,我必须清理html内容。以前我使用 Esapi 编码器规范化,如下所示:
ESAPI.encoder().canonicalize(content);
这个项目的最后一次更新是在 3 年前,所以我想更新到他们的新项目"OWASP 编码器项目"。
但是我没有找到如何使用它以便清理我的内容的方法?例如,以前当我对 "%3Cscript%3E" i would get back "<script>" 等内容运行 Canonicalize 方法时,但现在,无论我使用哪个编码器,它都不做同样的工作,也许我错过了什么?
ESAPI 2.2.0.0-RC2 版本已经可用;试一试。RC3 版本应该在未来几天内可用。(在这一点上,我只是在等待其他ESAPI贡献者的一些评论。我预计 2.2.0.0 版本将在 2019 年 6 月底之前发布。我们实际上从未停止过支持它;只是花了很长时间才弄清楚如何施展 Maven 魔法来正确上传版本。
-Kevin Wall,ESAPI项目联合负责人