
I did not see any mechanisms within the rabbIT codebase for escape html strings. 狢 created the following patch which makes use of the Apache commons-lang 2.x project to perform the escaping.<div><br></div><div>I do hope I am not being presumptuous nor intend any insult. 狢 just needed the change fixed ASAP for a security audit and so I needed to do it myself locally. 狢 am grateful for your tool and that it is open source, enabling me to do this when needed. 狢 am just supplying the patch as an FYI. There are certainly no hard feelings or anything if you decide not to use it, especially considering it would introduce a new dependency on a third-party library.</div>

<div><div><br class="Apple-interchange-newline">I tried to keep the patch to a minimum, but I feel i should also mention a couple other observations:</div><div>1) most usages of StringBuilder within StandardResponseHeaders appear to be superfluous e.g. The #append method is only being called once, all the string concatenation work is actually being done by literal concatenation within the argument and not by the StringBuilder instance.</div>

<div>2) most of the error pages are not declaring any sort of doc-type and seam to be using some sort of html 3.x structure instead of any html4, html5, or xhtml format.</div></div><div><br></div><div>-Jeff</div><div><br>

<div class="gmail_quote">On Sat, Feb 27, 2010 at 4:09 AM,  <span dir="ltr"><<a href="mailto:robo@khelekore.org">robo@khelekore.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Hello!<br>

<div class="im"><br>

> Couple quick questions:<br>

> 1) is there a public (readonly) source repository for this or is it just<br>

> available as individual tar.gz downloads<br>

<br>

</div>Currently there is none, but I can probably set up a git-mirror of<br>

my working tree. It will take some days though, since I am currently<br>

traveling.<br>

<div class="im"><br>

> 2) src/rabbit/proxy/StandardResponseHeaders:148 needs to escape/encode the<br>

> url.<br>

<br>

</div>You are probably correct in that and it ought to be easy to fix.<br>

That code actually comes from the rabbit/2.x if I remember correctly.<br>

<br>

I will take a look at it later.<br>

<br>

/robo<br>

<br>

<br>

</blockquote></div><br></div>