问ESAPI规范化畸形形成url

EN

这个问题是ESAPI中的一个已知臭虫。我开始着手解决这个问题，但是由于我不知道什么时候会提交补丁，所以我只能在我的评论中向OP推荐一个解决办法，在这里我链接了一个类似的答案，使用java.net.URI和javax.ws.rs.core.UriBuilder解析/分解URL，规范化这些片段，然后重构这个URL。我将重新发布链接这里。我提出的例子是在操作转换话题后的问题的后半部分。

我也面临着同样的问题。在我的示例中，对于string \fgdf\gghfh\fgh\dff，规范化方法将如下所示：

案例1:规范化(字符串)->入侵-在\fgdf\gghfh\fgh\dff中检测到多重(2x)编码

案例2:规范化( string，false) -> input=fgdfgghfhfghdff，在本例中，它在字符串验证中失败了吗？字符不是字符白列表的一部分。

我终于成功了。以下是代码：

    value = ESAPI.encoder().encodeForURL(value);
    value = value.replaceAll("", "");
    isSafe = validator.isValidInput("APPNAME", value, "URLSTRING", 255, true, false);

false的最后一个参数关闭默认打开的内部规范化。

我希望这能帮到你。