<div dir="ltr">Hi again,<div><br></div><div>We have a very old java application based on JSP scriplets with several XSS vulnerabilities. </div><div><br></div><div>We are going to do a full code review and apply encoding everywhere.</div><div><br></div><div>Our general policy on newer applications is to use <c:out> and <span style="font-weight:bold;color:rgb(84,84,84);line-height:12.1333341598511px">fn</span><span style="color:rgb(84,84,84);line-height:12.1333341598511px">:escapeXml but both are JSTL tags that cannot be applied to scriptlets so we need a java encoding library like ESAPI or the Owasp Java Encoder.</span></div><div><span style="color:rgb(84,84,84);line-height:12.1333341598511px"><br></span></div><div><font color="#545454"><span style="line-height:12.1333341598511px">Given that we just want encoding probably we would better use the </span></font><span style="color:rgb(84,84,84);line-height:12.1333341598511px">Owasp Java Encoder</span><font color="#545454"><span style="line-height:12.1333341598511px"> project instead of the full ESAPI project. We will need no config files and will probably save some dependencies.</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">And the questions are:</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">- Are the encoding capabilities of both projects equal?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">- Does the Encoder Project have any relation with ESAPI?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">On the other hand. When talking strictly about html encoding (not css, not javascript) is there any benefit in using ESAPI or the Owasp Java encoder over JSTL?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">Thank you!!</span></font></div></div>