Java ESAPI中的编码器和规范化
我理解ESAPI的用途,但我看到这两行代码在许多ESAPI示例中重复出现。有人能解释一下这到底是怎么回事吗Java ESAPI中的编码器和规范化,java,esapi,Java,Esapi,我理解ESAPI的用途,但我看到这两行代码在许多ESAPI示例中重复出现。有人能解释一下这到底是怎么回事吗 ESAPI.encoder().canonicalize(inputUrl,false,false); 见: 规范化仅仅是减少可能的错误的操作 将字符串编码为最简单的形式。这很重要,因为 攻击者经常使用编码来更改其输入,从而 将绕过验证筛选器,但仍由 袭击的目标。请注意,多次编码的数据不可用 普通用户会生成的东西,应该被视为 袭击 示例中设置为false的两个附加参数分别指示是否限制多重
ESAPI.encoder().canonicalize(inputUrl,false,false);
见:
规范化仅仅是减少可能的错误的操作
将字符串编码为最简单的形式。这很重要,因为
攻击者经常使用编码来更改其输入,从而
将绕过验证筛选器,但仍由
袭击的目标。请注意,多次编码的数据不可用
普通用户会生成的东西,应该被视为
袭击
示例中设置为false的两个附加参数分别指示是否限制多重编码和混合编码(请参阅文档了解其含义)。Hi,我还需要使用
encoder.encodeForHTML(字符串)
。那么我应该先做规范化还是先做encodeForHTML()
?我的订单应该是什么?仅供参考:文档的新链接: