Java ESAPI中的编码器和规范化_Java_Esapi

Java ESAPI中的编码器和规范化

java

Java ESAPI中的编码器和规范化,java,esapi,Java,Esapi,我理解ESAPI的用途，但我看到这两行代码在许多ESAPI示例中重复出现。有人能解释一下这到底是怎么回事吗 ESAPI.encoder().canonicalize(inputUrl,false,false); 见：规范化仅仅是减少可能的错误的操作将字符串编码为最简单的形式。这很重要，因为攻击者经常使用编码来更改其输入，从而将绕过验证筛选器，但仍由袭击的目标。请注意，多次编码的数据不可用普通用户会生成的东西，应该被视为袭击示例中设置为false的两个附加参数分别指示是否限制多重

我理解ESAPI的用途，但我看到这两行代码在许多ESAPI示例中重复出现。有人能解释一下这到底是怎么回事吗

ESAPI.encoder().canonicalize(inputUrl,false,false);

见：

规范化仅仅是减少可能的错误的操作将字符串编码为最简单的形式。这很重要，因为攻击者经常使用编码来更改其输入，从而将绕过验证筛选器，但仍由袭击的目标。请注意，多次编码的数据不可用普通用户会生成的东西，应该被视为袭击

示例中设置为false的两个附加参数分别指示是否限制多重编码和混合编码（请参阅文档了解其含义）。

Hi，我还需要使用

encoder.encodeForHTML（字符串）

。那么我应该先做规范化还是先做

encodeForHTML（）

？我的订单应该是什么？仅供参考：文档的新链接：