去年,我使用ESAPI项目进行了清理,并将html转换为通用格式,今天,我看到我主要是沉重的“流量”主要是因为我使用了ESAPI中的唯一一行:
ESAPI.encoder().canonicalize(string);
我阅读了有关OWASP新项目“ Java编码器”的信息,该项目是整个ESAPI的轻量级版本,他们只想使用编码器(我愿意)。 我唯一不了解的是如何用新的Encoder替换一行?(因此,它没有encoder()和canonicalize()函数)。 我发现的唯一方法是通过解析它:
Encode.forHtml();
Encode.forCssString()
,依此类推。 还有另一种方法吗?甚至我什至对文档都不了解。