<div dir="ltr">HI Eduardo, <div><br></div><div>In my testing, I have found the OWASP Encoder to be significantly faster than ESAPI (at least 10x). If all you need is encoding, the encoder is a much better bet. </div><div><br></div><div>Regards,</div><div>August </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 13, 2015 at 10:51 AM, Eduardo Macarron <span dir="ltr"><<a href="mailto:eduardo.macarron@gmail.com" target="_blank">eduardo.macarron@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi again,<div><br></div><div>We have a very old java application based on JSP scriplets with several XSS vulnerabilities. </div><div><br></div><div>We are going to do a full code review and apply encoding everywhere.</div><div><br></div><div>Our general policy on newer applications is to use <c:out> and <span style="font-weight:bold;color:rgb(84,84,84);line-height:12.1333341598511px">fn</span><span style="color:rgb(84,84,84);line-height:12.1333341598511px">:escapeXml but both are JSTL tags that cannot be applied to scriptlets so we need a java encoding library like ESAPI or the Owasp Java Encoder.</span></div><div><span style="color:rgb(84,84,84);line-height:12.1333341598511px"><br></span></div><div><font color="#545454"><span style="line-height:12.1333341598511px">Given that we just want encoding probably we would better use the </span></font><span style="color:rgb(84,84,84);line-height:12.1333341598511px">Owasp Java Encoder</span><font color="#545454"><span style="line-height:12.1333341598511px"> project instead of the full ESAPI project. We will need no config files and will probably save some dependencies.</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">And the questions are:</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">- Are the encoding capabilities of both projects equal?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">- Does the Encoder Project have any relation with ESAPI?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">On the other hand. When talking strictly about html encoding (not css, not javascript) is there any benefit in using ESAPI or the Owasp Java encoder over JSTL?</span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px"><br></span></font></div><div><font color="#545454"><span style="line-height:12.1333341598511px">Thank you!!</span></font></div></div>
<br>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br></div>