ие люди из OWASP подчеркивают, что вы ДОЛЖНЫ использовать синтаксис escape для той части HTML-документа, в которую вы помещаете ненадежные данные (тело, атрибут, JavaScript, CSS или URL). ВидетьOWASP - XSS, Их API (разработанный командой ESAPI) впоследствии учитывает наличие кодеров для каждого контекста:

ESAPI.encoder().encodeForHTML("input"); ESAPI.encoder().encodeForHTMLAttribute("input"); ESAPI.encoder().encodeForJavaScript("input"); ESAPI.encoder().encodeForCSS("input"); ESAPI.encoder().encodeForURL("input");

Впоследствии это позволяет разработчику обслуживатьОснованный на DOM XSS.

Поэтому мой вопрос заключается в том, как пакет GWT safehtml отвечает этим требованиям или он просто фокусируется на кодировании HTML?