инструменты. Он никогда не заменит одитинг вашего кода, но должен сильно помочь в этом.
ие люди из OWASP подчеркивают, что вы ДОЛЖНЫ использовать синтаксис escape для той части HTML-документа, в которую вы помещаете ненадежные данные (тело, атрибут, JavaScript, CSS или URL). ВидетьOWASP - XSS, Их API (разработанный командой ESAPI) впоследствии учитывает наличие кодеров для каждого контекста:
ESAPI.encoder().encodeForHTML("input"); ESAPI.encoder().encodeForHTMLAttribute("input"); ESAPI.encoder().encodeForJavaScript("input"); ESAPI.encoder().encodeForCSS("input"); ESAPI.encoder().encodeForURL("input");
Впоследствии это позволяет разработчику обслуживатьОснованный на DOM XSS.
Поэтому мой вопрос заключается в том, как пакет GWT safehtml отвечает этим требованиям или он просто фокусируется на кодировании HTML?