ロギングで一種のジレンマに陥っています。ESAPI.propertiesログのオプションを次のように設定しました。
LogLevel=INFO
LogEncodingRequired=true
私のアプリケーションで を呼び出す
ESAPI.getLogger(MyClass.class).info(Logger.USABILITY, true, message)と、エンコードされた文字 (<、>、&、'、" などのいずれかがある場合) を含むメッセージが出力されます。
問題は、ログに出力するメッセージにこれらの文字が含まれており、上記の log.info 呼び出しによって、エンコードされたすべての文字でログがどのように表示されるかがおかしくなることです。
質問: 設定した場合LogEncodingRequired=false(メッセージをそのまま出力する場合)、ログ ファイル (Web ブラウザーで表示可能) が XSS に対して脆弱になる可能性はありますか?