OWASP Java编码器项目是否会逃脱所有XSS? 通过方法
Encode.forHtmlContent(value)
Encode.forJavaScript(value)
Encode.forXml(value)
或更好地使用其他解决方案?
您为Java应用程序提供哪些OWASP解决方案?
答案 0 :(得分:2)
ESAPI is no longer a flagship project for OWASP.自2013年以来一直没有发布,这意味着该项目已过时。
如果你只需要输出转义,use the encoder project.那个被保留。
无法保证单个解决方案可以清理所有XSS。您必须允许聪明的攻击者可以利用HTML清理程序中的错误。
答案 1 :(得分:0)
是的,我认为如果您正在寻找编码api来停止XSS,那么OWASP Java Encoder是最佳选择。对于基于上下文的编码到stooping xss,我更喜欢java编码器而不是ESAPI