如何使用 OWASP 编码器项目规范化内容

how to canonicalize content with OWASP Encoder Project

为了避免跨站点脚本攻击,我必须清理 html 内容。 以前我使用 Esapi 编码器规范化是这样的:

ESAPI.encoder().canonicalize(content);

这个项目的最后一次更新是 3 年前,所以我想更新到他们的新项目 "OWASP Encoder Project"。

但我没有找到如何使用它来清理我的内容的方法? 例如,以前当我 运行 对 "%3Cscript%3E" i would get back "<script>" 等内容进行规范化方法时,但现在,无论我使用哪种编码器,它都不会做同样的工作,也许我错过了什么?

ESAPI 2.2.0.0-RC2 版本已经可用;试试看。 RC3 版本应该会在接下来的几天内发布。 (此时我只是在等待 ESAPI 贡献者的一些评论。)我预计 2.2.0.0 版本将在 2019 年 6 月底之前发布。我们实际上从未停止支持它;只是花了很长时间才弄清楚如何使用 Maven 魔法来正确上传版本。

-kevin wall,ESAPI 项目 co-leader