org.owasp.esapi.reference.DefaultEncoder对org.owasp.encoder.Encode

Question

org.owasp.esapi.reference.DefaultEncoder和org.owasp.encoder.Encode类都提供了一些VeraCode的支持的清洁功能来解决潜在的跨站点脚本攻击(XSS)。考虑到它们都来自OWASP，我不得不认为它们并不是多余的，但是有些方法看起来是要做同样的事情，例如DefaultEncoder.encodeForHTML(String)和Encode.forHtml(String)。我想知道它们之间有什么不同，什么时候使用一个类而不是另一个类更好。

Answer 1

它们来自功能重叠的不同项目。org.owasp.esapi.reference.DefaultEncoder来自ESAPI项目，org.owasp.encoder.Encode来自OWASP编码器项目。Java编码器项目更新，更积极地维护，更具体地用于输出编码，而ESAPI也具有其他功能。

对于像HTML编码这样的东西，他们在做同样的事情，所以没有什么区别，但是看起来ESAPI现在更像是一个遗留的项目。请参见：

• 我应该使用ESAPI吗？
• 是否仍然推荐OWASP ESAPI？