JAVA ESAPI編碼器

2016-11-07 143 views 0 likes

你好，我使用ESAPI進行編碼和解碼字符串，以避免腳本攻擊，我用這樣的：JAVA ESAPI編碼器

public static String encode(String value) { 
    if (value == null) { 
     return null; 
    } 
    Encoder encoder = ESAPI.encoder(); 
    return encoder.encodeForHTML(encoder.canonicalize(value)); 
}

的問題是如果我通過字符串「％」的標誌，並使用解碼StringEscapeUtilsunescapeHtml它將「％」更改爲我應該使用不同的方法進行無人看管？

來源

2016-11-07 DopeDod

回答

我相信這似乎是ESAPI defaultencoder canonilize方法的問題，剛發現一個問題跟蹤中提到GitHub的鏈接 https://github.com/ESAPI/esapi-java/issues/1

來源

2016-11-07 13:38:44 mhasan

你想要的實際問題是https://github.com/ESAPI/esapi-java-legacy/issues/377，但它不適用於此。 – avgvstvs

的問題是使用Encoder.canonicalize()，你在這裏做。在輸入驗證之前進行規範化，而不是在輸出之前。

只要使用這裏的編碼方法，不要使用canonicalize方法。對。規範化

其他明智的建議：

不要堅持規範化的值。僅針對其執行驗證邏輯。含義，RawInput-> Canonicalize->驗證。如果確認，則堅持/處理原始值。
該方法的主要優點是檢測混合或多編碼攻擊。

來源

2016-11-08 05:47:26 avgvstvs

相關問題

11. java字節碼編輯器？
12. ESAPI for PHP nonxistant？
13. 需要OWASP-ESAPI記錄器幫助
14. 在ESAPI驗證器中創建規則
15. Websphere 7中未定義'esapi'
16. .NET庫與OWASP相同ESAPI
17. Hangman java編碼
18. Java Unicode編碼
19. UTF編碼java
20. Java dateFishion編碼
21. java編碼misunderstoud
22. 編碼在Java
23. Java URL編碼
24. JAVA Intellij編碼
25. 編碼：Java＆Python
26. Java - 編碼URL
27. 用Java編碼
28. 在OSWAP ESAPI中用於會話管理的任何Java代碼示例？
29. JavaScript庫或Esapi阻止XSS - 轉義和編碼不受信任的數據
30. ESAPI加密和解密