ESAPI日志注入

Question

由于日志注入的可能性，我在项目中包括了ESAPI。

我唯一用它做的事情是这样的：

message = message.replace("\n", ERROR_MESS)
            .replace("\r", ERROR_MESS)
            .replace("\t", ERROR_MESS);
message = ESAPI.encoder().encodeForHTML(message);

然而，我得到了大量的日志显示，如：

ESAPI: WARNING: System property [org.owasp.esapi.opsteam] is not set
ESAPI: WARNING: System property [org.owasp.esapi.devteam] is not set
...

我有两个问题：

1. 有可能关掉这些日志吗？如果有的话，怎么做呢？我通过创建新的类找到了一种方法，但是我正在寻找更多类似于在ESAPI.properties文件中设置它的方法。
2. 真的需要只为这一种方法使用ESAPI.properties吗？是否有机会删除它，它也将发挥作用？

Answer 1

1. 目前还没有，但欢迎您随时加入过来帮我们。只要为你想要的任何功能提交一个公关。
2. 如果没有validation.properties或esapi.properties.，ESAPI将不会加载，这是由设计完成的。

我是esapi-java项目的联合负责人。