热门标签
热门文章
- 1el-select 性能优化_el-select大数据优化
- 2C#在Linux+Mono环境中使用微信支付证书
- 3鸿蒙arkui初体验比起flutter如何_鸿arkuiflutter 相似
- 4jar包冲突问题_linux查看jar类冲突
- 5使用Chart.js在饼图和圆环图上显示图表数据
- 6微信开发之小程序UI设计规范_小程序步骤条竖条ui
- 7js通过name获取元素
- 8el-table表格下方多一条线的问题_el-table下边框线不全
- 9HarmonyOS鸿蒙开发指南:基于ArkTS开发 设备管理 传感器_鸿蒙 传感器 开发
- 10QGIS二次开发环境配置(VS2019+QT5.12.2+QGIS3.26.3)
当前位置: article > 正文
html 转义 xss,HTML-Entity转义防止XSS
作者:菜鸟追梦旅行 | 2024-02-27 05:45:28
赞
踩
xss.htmlencoder(contect,"html")
我使用OWASP(ESAPI)库,以及,为了躲避针对不同类型的显示器,使用字符串:
String html = ESAPI.encoder().encodeForHTML("hello are 'you'");
String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello are 'you'");
String js = ESAPI.encoder().encodeForJavaScript("hello are 'you'");
HTML(假设JSP)
更新()
由于ESAPI编码器被认为是legacy,更好的替代品已经创建并且正在积极维护,我强烈建议使用OWASP Java Encoder来代替。
如果您的项目已经使用ESAPI,则添加了integration,它允许您使用此库进行编码。
的用法是在他们wiki page解释,但完成的缘故,这是你可以用它来上下文编码您的数据:
// HTML Context
String html = Encoder.forHtml("ute'd'");
// HTML Attribute Context
String htmlAttr = Encoder.forHtmlAttribute("ute'd'");
// Javascript Attribute Context
String jsAttr = Encoder.forJavaScriptAttribute("ute'd'");
HTML(假设JSP)
PS:存在更多上下文并且由库支持
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
相关标签
