要摆脱跨站点脚本攻击,我必须清理this.dtTrigger.next();内容。
以前,我使用Esapi编码器进行如下规范化处理:
html这个项目的最新更新是3年前,所以我想更新到他们的新项目“ OWASP Encoder Project”。
但是我没有找到一种方法来使用它来清理内容?
例如,以前,当我对ESAPI.encoder().canonicalize(content);
之类的内容运行canonicalize方法时,但是现在,无论我使用哪种编码器,它都不能完成相同的工作,也许我错过了一些东西?
答案 0 :(得分:1)
ESAPI 2.2.0.0-RC2发行版已经可用;试试看。 RC3版本应在未来几天内可用。 (我现在正在等待ESAPI贡献者的一些评论。)我预计2.2.0.0版本将在2019年6月结束之前发布。只是花了很长时间才弄清楚如何做Maven魔术才能正确发布发行版。
-kevin wall,ESAPI项目联合负责人