你可以试试wiki或javadocs。

开始org.owasp.esapi.waf.ESAPIWebApplicationFirewallFilter。
从javadocs：

这是 ESAPI Web 应用程序防火墙 (WAF) 的主要类。它是一个标准的 J2EE servlet 过滤器，它以不同的方法调用配置文件的读取并处理运行时处理和执行开发人员指定的规则。理想情况下，过滤器应配置为捕获 web.xml 中的所有请求 (/*)。如果有 URL 段需要非常快并且不需要任何保护，则可以非常谨慎地修改该模式。

ESAPI 的文档充其量是稀疏的。以下是一些可能会有所帮助的掘金：

• Web 应用程序防火墙策略文件规范
• 为 Web 应用程序配置 ESAPI
• OWASP ESAPI 身份验证器教程
• WAF 过滤器测试工具（r565 之后的版本抽象代码）