我的日志记录有点进退两难。我已将ESAPI.properties
日志选项设置如下:
LogLevel=INFO
LogEncodingRequired=true
在我的应用程序中,如果我调用
ESAPI.getLogger(MyClass.class).info(Logger.USABILITY, true, message)
,它将打印出带有编码字符的消息(如果有任何这些 <、>、&、'、" 等)。
问题是,我将打印出日志的消息将包含这些字符,并且上面的 log.info 调用将弄乱日志与所有编码字符的外观。
问题:如果我设置LogEncodingRequired=false
(然后按原样输出消息),是否会增加我的日志文件(可以在 Web 浏览器中查看)易受 XSS 攻击的可能性?