I&#39;m wrapping my servlet request using ESAPI. My war is at the root of my jetty server so my servlet path is just empty &quot;&quot;.<div><br></div><div>I get lots of exceptions stating:</div><div><br></div><div>    org.owasp.esapi.errors.ValidationException: HTTP servlet path: : Input required...</div>

<div><br></div><div><br></div><div><br></div><div>SecurityWrapperRequest.getServletPath appears to have two issues:</div><div><br></div><div><br></div><div>1) The regex in ESAPI.properties for Validator.HTTPServletPath doesn&#39;t accommodate an empty path. </div>

<div><br></div><div><br></div><div>I found mention of this in discussions around Issue #46 here <a href="https://lists.owasp.org/pipermail/esapi-dev/2011-May/001759.html">https://lists.owasp.org/pipermail/esapi-dev/2011-May/001759.html</a>. </div>

<div><br></div><div>I&#39;ve used this regex in my config and tested it using QuickRex.</div><div><br></div><div>    Validator.HTTPServletPath=(|^/[a-zA-Z0-9./_-]*[a-zA-Z0-9._-]$)</div><div><br></div><div><br></div><div>
2) The code in SecurityWrapperRequest.getServletPath doesn&#39;t allow for a null.</div>
<div><br></div><div><br></div><div>Looking at the code itself I can&#39;t get past the getValidInput check as nulls (and empty) are not allowed.</div><div><br></div><div>    clean = ESAPI.validator().getValidInput(&quot;HTTP servlet path: &quot; + path, path, &quot;HTTPServletPath&quot;, 100, false);</div>

<div><br></div><div><br></div><div><br></div><div>My application is working ok as the exception is caught in getServletPath and the clean string returned. However, I get lots of exceptions in my log.</div><div><br></div>
<div>
<br></div><div>Should I raise a bug or have I missed something?</div><div><br></div><div>Luke</div><div><br></div>