<div dir="ltr"><div style="font-size:12.8000001907349px">We will definitely go the Java Encoder<br></div><div style="font-size:12.8000001907349px"><br></div><span style="font-size:12.8000001907349px">Thank you very much for your detailed replies and also for your great work on these projects.</span><div style="font-size:12.8000001907349px"><br></div><div style="font-size:12.8000001907349px">Regards</div><div class="gmail_extra"><br><div class="gmail_quote">2015-01-14 6:31 GMT+01:00 Jim Manico <span dir="ltr"><<a href="mailto:jim.manico@owasp.org" target="_blank">jim.manico@owasp.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yes it does.<span class="HOEnZb"><font color="#888888"><br>
- Jim</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
On 1/13/15 6:40 PM, Kevin W. Wall wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Not only is it faster (while that's a win, the Java Encoder project<br>
can be configured to use as the default encoder in ESAPI), but IMO the<br>
biggest advantage is that you don't get burdened with all of ESAPI's<br>
dependencies (many which haven't been updated for 2 or 3 yrs). If you<br>
want to use a significant portion of the other ESAPI functionality, it<br>
probably makes sense to use ESAPI. If you only want to do output<br>
encoding, I'd stick with the Java Encoder project. Another option, if<br>
you are already using Struts is to use the Struts JSP tag library.<br>
<br>
The only thing I'm not sure of is if the Java Encoder project has a<br>
tag library comes as part of it. ESAPI does (although writing your own<br>
is not a major undertaking). Jim, can you comment on that? Does the<br>
encoder project have a tag library?<br>
<br>
-kevin<br>
<br>
On Tue, Jan 13, 2015 at 3:28 PM, August Detlefsen <<a href="mailto:augustd@codemagi.com" target="_blank">augustd@codemagi.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
HI Eduardo,<br>
<br>
In my testing, I have found the OWASP Encoder to be significantly faster<br>
than ESAPI (at least 10x). If all you need is encoding, the encoder is a<br>
much better bet.<br>
<br>
Regards,<br>
August<br>
<br>
On Tue, Jan 13, 2015 at 10:51 AM, Eduardo Macarron<br>
<<a href="mailto:eduardo.macarron@gmail.com" target="_blank">eduardo.macarron@gmail.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi again,<br>
<br>
We have a very old java application based on JSP scriplets with several<br>
XSS vulnerabilities.<br>
<br>
We are going to do a full code review and apply encoding everywhere.<br>
<br>
Our general policy on newer applications is to use <c:out> and<br>
fn:escapeXml but both are JSTL tags that cannot be applied to scriptlets so<br>
we need a java encoding library like ESAPI or the Owasp Java Encoder.<br>
<br>
Given that we just want encoding probably we would better use the Owasp<br>
Java Encoder project instead of the full ESAPI project. We will need no<br>
config files and will probably save some dependencies.<br>
<br>
And the questions are:<br>
- Are the encoding capabilities of both projects equal?<br>
- Does the Encoder Project have any relation with ESAPI?<br>
<br>
On the other hand. When talking strictly about html encoding (not css, not<br>
javascript) is there any benefit in using ESAPI or the Owasp Java encoder<br>
over JSTL?<br>
<br>
Thank you!!<br>
<br>
______________________________<u></u>_________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/<u></u>mailman/listinfo/esapi-user</a><br>
<br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/<u></u>mailman/listinfo/esapi-user</a><br>
<br>
</blockquote>
<br>
<br>
</blockquote>
<br>
</div></div></blockquote></div><br></div></div>