Encode.forHtml:
可防範XSS(Cross-Site Scripting),會把「<」、「&」、「>」、「"」、「""」這類的特殊字元取代成「<」、「&」、「>」、「"」、「""」。
但是不會取代「換行字元」,無法防範Log Forging (日誌偽造),防範Log Forging一定要取代「換行字元」
Encode.forJava:
可防範Log Forging (日誌偽造),會把「換行字元」取代
Source Code:
https://github.com/OWASP/owasp-java-encoder/blob/main/core/src/main/java/org/owasp/encoder/Encode.java
官網:
https://owasp.org/owasp-java-encoder/
目前最新版是1.2.3,可用在Java 5以上的專案。
encoder-jsp-1.2.3.jar是JSP tag方式使用,jsp檔需要聲明taglib如下
<%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %>
encoder-1.2.3.jar是直接透過Method方式呼叫使用,可以用於一般java程式。
REF:
https://owasp-top-10-proactive-controls-2018.readthedocs.io/en/latest/c4-encode-escape-data.html
沒有留言:
張貼留言