Как канонизировать контент с помощью проекта OWASP Encoder
Чтобы избежать атаки межсайтового скриптинга, мне нужно дезинфицировать html контент.
Ранее я использовал канонизацию кодировщика Esapi следующим образом:
ESAPI.encoder().canonicalize(content);
и последнее обновление этого проекта было 3 года назад, поэтому я хотел обновить их новый проект «OWASP Encoder Project».
но я не нашел способ, как я могу использовать его, чтобы я мог дезинфицировать свой контент?
например, раньше, когда я запускал метод канонизации для контента, такого как "%3Cscript%3E" i would get back "<script>", но теперь, независимо от того, какой кодировщик я использую, он просто не выполняет ту же работу, может быть, я что-то пропустил?
Ответы 1
Выпуск ESAPI 2.2.0.0-RC2 уже доступен; попробуйте. Релиз RC3 должен быть доступен в ближайшие пару дней. (На данный момент я просто жду комментариев от других участников ESAPI.) Я ожидаю, что выпуск 2.2.0.0 выйдет до конца июня 2019 года. На самом деле мы никогда не прекращали его поддержку; потребовалась целая вечность, чтобы понять, как использовать магию Maven для правильной загрузки релизов.
-Кевин Уолл, соруководитель проекта ESAPI
Что нового в этой версии? Вы можете перенаправить меня к целям/обслуживанию/контролю версий этой версии? Спасибо!
Примечания к выпуску ESAPI 2.2.0.0 находятся в: github.com/ESAPI/esapi-java-legacy/blob/develop/documentation/….
Таким образом, ESAPI 2.2, скорее всего, будет выпущен в конце месяца, к вашему сведению. Во-вторых, проект Owasp Encoder избегает ТОЛЬКО вывода. У него нет средств для декодирования. Он также не обеспечивает канонизацию. FWIW, у нас есть никогда, рекомендованный для хранения канонизированных данных: целью было всегда для подготовки данных к проверке, а затем отбрасывания данных после проверки.