如何使用OWASP编码器清理Java对象？

为了避免跨站点脚本攻击，我必须清理/验证来自RequestBody的java对象。我可以使用编码器（来自OWASP）对整个java对象进行编码吗。编码器似乎只对字符串进行编码，不能接受对象。我在很多地方都有类似的问题需要处理

---

有没有办法对整个对象进行清理以避免跨站点脚本问题？

正如您所注意到的，为防止XSS（跨站点脚本）而对输入进行清理只与字符串相关。对其他类型进行编码要么是不可能的，要么是毫无意义的

为了更好地理解它，你需要真正理解XSS的机制和攻击向量。我建议从这里开始：

为了解决您的问题，可以创建一个自定义方法，在从请求中获取对象后，通过检查其所有字符串（不要忘记列表和其他数据结构中的字符串）对其进行清理，并使用OWASP编码器对其进行编码

---

祝你好运

您的对象包含什么？以及以何种方式返回到客户端？此对象包含其他几个属性，包括列表、对象、整数和字符串。通过添加更多的属性值，相同的输入将返回给客户端。