防止html转义字符,HTML实体转义以防止XSS

小编典典

我也使用OWASP(ESAPI)库，以转义不同显示类型的字符串，请使用：

String html = ESAPI.encoder().encodeForHTML("hello < how > are 'you'");

String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello < how > are 'you'");

String js = ESAPI.encoder().encodeForJavaScript("hello < how > are 'you'");

HTML(假设为jsp)

更新 ( 2017 )

由于ESAPI编码器被认为是旧版，因此已经创建了一个更好的替代方案，并且正在积极维护中，我强烈建议改用OWASP

Java编码器。

如果您的项目已经使用ESAPI，则添加了集成，您可以使用该库进行编码。

其用法已在其Wiki页面上进行了说明，但是为了完整起见，这是您可以使用它来对数据进行上下文编码的方式：

// HTML Context

String html = Encoder.forHtml("ute'd'");

// HTML Attribute Context

String htmlAttr = Encoder.forHtmlAttribute("ute'd'");

// Javascript Attribute Context

String jsAttr = Encoder.forJavaScriptAttribute("ute'd'");

HTML(假设为jsp)

PS： 存在更多上下文，并且库支持

2020-12-03