如何利用OWASP编码器项目规范内容

Question

为了避免跨站点脚本攻击，我必须对html内容进行消毒。以前，我使用了Esapi编码器规范化，如下所示：

ESAPI.encoder().canonicalize(content);

最后一次更新这个项目是三年前，所以我想更新他们的新项目"OWASP编码器项目“。

但我没有找到一个方法，我如何使用它，我可以消毒我的内容？例如，以前当我在像"%3Cscript%3E" i would get back "<script>"这样的内容上运行规范化方法时，但是现在，不管我使用哪个编码器，它只是做不到相同的工作，也许我遗漏了什么？

Answer 1

ESAPI 2.2.0.0-RC2版本已经可用；尝试一下。RC3版本将在接下来的几天内发布。(我只是在等待其他ESAPI撰稿人的一些评论。)我预计2.2.0.0版本将在2019年6月底前发布。实际上，我们从未停止支持它；只是花了很长时间才弄明白如何使用Maven魔法来正确上传版本。

-kevin墙，ESAPI项目的共同领导者