由于可能存在日志注入(inject),我在项目中包含了 ESAPI。
我使用它的唯一目的是这样的:
message = message.replace("\n", ERROR_MESS)
.replace("\r", ERROR_MESS)
.replace("\t", ERROR_MESS);
message = ESAPI.encoder().encodeForHTML(message);
但是,我显示了大量日志,例如:
ESAPI: WARNING: System property [org.owasp.esapi.opsteam] is not set
ESAPI: WARNING: System property [org.owasp.esapi.devteam] is not set
...
我有两个问题:
- 是否可以关闭此日志?如果有的话怎么办?我通过创建新类找到了一种方法,但是我正在寻找更多类似在 ESAPI.properties 文件中设置它的方法。
- 真的只需要为该一种方法使用 ESAPI.properties 吗?有没有机会删除它并且它还能正常工作?
最佳答案
目前还没有,但欢迎您访问come over and help us随时出去。只需针对您想要的任何功能提交 PR 即可。
如果没有
validation.properties
,ESAPI 将无法加载或esapi.properties.
这是设计使然。
我是 esapi-java 项目的联合负责人。
关于java - ESAPI日志注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61103865/