ESAPI日志注入

问题描述投票：0回答：1

由于可能会注入日志，所以我在项目中包括了ESAPI。

我正在使用的唯一东西是这样的：

message = message.replace("\n", ERROR_MESS)
            .replace("\r", ERROR_MESS)
            .replace("\t", ERROR_MESS);
message = ESAPI.encoder().encodeForHTML(message);

但是，我显示了很多日志，例如：

ESAPI: WARNING: System property [org.owasp.esapi.opsteam] is not set
ESAPI: WARNING: System property [org.owasp.esapi.devteam] is not set
...

我有两个问题：

是否有可能关闭此日志？如果有，该怎么办？我通过创建新类找到了一种解决方法，但是我正在寻找更多类似在ESAPI.properties文件中进行设置的方法。
真的只需要对那一种方法使用ESAPI.properties吗？是否有删除它的机会，它也会正常工作吗？

java logging esapi

1个回答

0
投票

目前尚无，但是随时欢迎您退出come over and help us。只需提交所需功能的PR。
ESAPI将在没有validation.properties或esapi.properties.的情况下加载。

我是esapi-java项目的共同负责人。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.