随着 OWASP 将 Java ESAPI 从一个旗舰项目中降级,以及围绕该库的所有讨论和不确定性,我想看看有哪些替代方案可用。我目前使用 ESAPI 进行输入验证、HTML/JS/等编码和 CSRF。我环顾四周,找到了 OVal、Vlad 等库,但还没有找到一个包罗万象的库来处理前 3 个项目。如果可能的话,我还希望它也可以在外部“配置”规则(就像 ESAPI 一样)。
您对处理 Java 输入/bean 验证、HTML/JS 编码和 CSRF token 使用有什么建议吗?开源或商业。
最佳答案
如果您正在使用以下某些 Web 框架,Spring MVC、Grails、Struts 1、Struts 2、JSF,请查看 HDIV
您可以在以下位置查看 HDIV 和 ESAPI 功能之间的区别: Difference between HDIV and ESAPI
关于OWASP ESAPI 的 Java bean 验证替代方案,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30789076/