esapi是如何encode的?

靠谱的程序员 2014-07-24 04:06:52
最近项目组在搞安全问题,主要是为了解决xss攻击,OWASP.com推荐了esapi用来对页面上的输出进行转码,有一点不太明白的地方就是:ESAPI.encoder().encodeForHTML(input) 这个方法把input转成什么了?
经过转码jsp页面上显示:暴瑶博
HTML源码显示:
暴瑶博


神奇的是我后来这样写的:
input= ESAPI.encoder().encodeForHTML(input);

input = ESAPI.encoder().encodeForHTMLAttribute(input);

input = ESAPI.encoder().encodeForJavaScript(input);

input = ESAPI.encoder().encodeForCSS(input);

input = ESAPI.encoder().encodeForURL(input);


经过转码jsp页面上"暴瑶博"三个字就变成了这个样子:
%5C5c+x26amp%5C5c+x3B%5C5c+x26%5C5c+x23x23%5C5c+x3Bx66b4%5C5c+x26%5C5c+x23x3b%5C5c+x3B%5C5c+x26amp%5C5c+x3B%5C5c+x26%5C5c+x23x23%5C5c+x3Bx7476%5C5c+x26%5C5c+x23x3b%5C5c+x3B%5C5c+x26amp%5C5c+x3B%5C5c+x26%5C5c+x23x23%5C5c+x3Bx535a%5C5c+x26%5C5c+x23x3b%5C5c+x3B


难道打开的方式有问题?
...全文
746 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
ru_li 2016-05-06
  • 打赏
  • 举报
 回复
请问楼主,esapi是怎么加载的?为什么我的程序运行总是出错?
Max@2008 2014-11-29
  • 打赏
  • 举报
 回复
你使用一次转码就好,input= ESAPI.encoder().encodeForHTML(input); 如果你每次都给input,最后就转来很多遍了
2-UAP ESAPI开发指导
ESAPI是一个开源安全框架,提供了认证、授权、加密/解密、编码/解码。ESAPI提供了标准的可拓展实现,其应用框架如下:
qss:小型(294b)浏览器实用程序,用于对查询字符串进行编码和解码
qss 小型(305B)浏览器实用程序,用于对查询对象进行字符串化。 您仅应考虑在浏览器上下文中使用此功能,因为Node的内置,应在Node环境中使用! 一个理想的用例是在发送API请求之前序列化查询对象。 该模块公开了三个模块定义: ES模块: dist/qss.mjs CommonJS : dist/qss.js UMD : dist/qss.min.js 安装 $ npm install --save qss 用法 import { encode , decode } from 'qss' ; encode ( { foo : 'hello' , bar : [ 1 , 2 , 3 ] , baz : true } ) ; //=> 'foo=hello&bar=1&bar=2&bar=3&baz=true' encode ( { foo : 123 } , '?' )
astc-encoder:这是Arm ASTC编码器的官方存储库,Arm ASTC编码器是Adaptive可缩放纹理压缩数据格式的纹理压缩器
关于 这是Arm:registered:自适应可伸缩纹理压缩(ASTC)编码器astcenc的官方存储库, astcenc是使用ASTC纹理压缩标准来压缩和解压缩图像的命令行工具。 ASTC格式 由Arm:registered:和AMD开发的ASTC压缩数据格式已被用作OpenGL:registered:,OpenGL ES和Vulkan:registered:图形API的正式扩展。 无论是在给定比特率的图像质量方面,还是在内容创作者可用的格式和比特率灵活性方面,它都迈出了重要的一步。 与传统格式相比,这允许更多资产使用压缩,通常以较低的比特率使用压缩,从而减少了内存带宽和能耗。 阅读我们的以进行快速介绍,或阅读完整的数据格式规范: 执照 该项目已获得Apache 2.0许可。 通过从该存储库下载任何组件,您承认您接受文件中指定的条款。 编码器功能支持 编码器支持将低动态范围(BMP,JPEG,PNG,TGA)和高动态范围(EXR,HDR)图像以及以DDS和KTX容器格式包
latlon-geohash:Gustavo Niemeyer的地理编码系统
哈希 用于将转换为纬度/经度点,以及确定地理哈希值单元的边界并查找地理哈希值的邻居的函数。 请注意,此版本2使用ES类和模块:对于较旧的浏览器(或Node.js <8.0.0), 是基于ES5的。 API Geohash.encode(lat, lon, [precision]) :将纬度/经度点编码为给定精度的geohash(结果geohash中的字符数); 如果未指定precision,则从纬度/经度值的精度推论得出。 Geohash.decode(geohash) :将给定geohash的中心的{lat,lon}返回到适当的精度。 Geohash.bounds(geohash) :返回给定geohash的{sw,ne}边界。 Geohash.adjacent(geohash, direction) : Geohash.adjacent(geohash, direction)
ESAPI简介
ESAPI简介  ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。     ESAPI是OWASP组织的一个开源项目,网址是: http://www.owasp.org/index.php/ESAPI     ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计: 具有一个安全接口集; 对每一种安全
Web 开发

81,092

社区成员

341,716

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章