代码之家  ›  专栏  ›  技术社区  ›  kc2001

org.owasp.esapi.参考.DefaultEncoder与。org.owasp.encoder编码.编码

veracode owasp xss character-encoding
  •  1
  • kc2001  · 技术社区  · 6 年前

    两个 org.owasp.esapi.reference.DefaultEncoder org.owasp.encoder.Encode 类提供了一些VeraCode Supported Cleansing Functions 用于解决潜在的跨站点脚本(XSS)攻击。考虑到它们都来自OWASP,我不得不认为它们并不是多余的,但是有些方法看起来是用来做同样的事情的,例如, DefaultEncoder.encodeForHTML(String) Encode.forHtml(String) . 我想知道它们之间有什么不同,什么时候用一个类比用另一个更好。

    1 回复  |  直到 6 年前
        1
  •  2
  •   fgb    6 年前

    它们来自功能上有些重叠的不同项目。 org.owasp.esapi.reference.DefaultEncoder org.owasp.encoder.Encode

    对于像HTML编码这样的东西,他们也在做同样的事情,所以不会有太大的区别,但是看起来ESAPI现在更像是一个遗留项目。请参见:

    推荐文章
    Kevin Cheng  ·  在CKEditor 4的源代码模式下,如何禁用预览按钮?
    7 年前
    EZDM  ·  避免在上使用XSS。使用JQUERY获取JSON
    7 年前
    Agent Smith  ·  如何使用ZF2防止XSS?
    7 年前
    rmeertens  ·  XSS攻击:更改Spring Boot Crudepository中引发的异常?
    7 年前
    Nikolai  ·  php中的XSS黑名单
    8 年前
    Lamcee  ·  如何在img标签的onerror属性上发送http请求?
    8 年前
    pinkpanther  ·  仅仅对XSS进行编码(而不是转义)是错误的吗?
    8 年前
    5argon  ·  谷歌翻译网站如何在不受跨站点脚本约束的情况下修改网页?
    9 年前
    vivek  ·  我们所说的上下文自动转义是什么意思?
    9 年前
    user2143356  ·  这是否易受XSS攻击?
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号