后端如何转义html，js脚本，防止xss攻击

后端可以使用一些框架和工具来帮助转义html和js脚本，例如：

1. OWASP Encoder：一个开源的Java库，提供了多种编码和转义方法，可以用于防止XSS攻击。

2. ESAPI：一个Java安全编程接口，提供了多种编码和过滤方法，可以用于防止XSS攻击、SQL注入攻击等。

3. Spring Security：一个Spring框架的安全模块，提供了多种安全控制和过滤方法，可以用于防止XSS攻击、CSRF攻击等。

在SpringBoot框架中，可以使用上述的框架和工具，也可以通过在Controller中使用**@CrossOrigin**注解，限制跨域请求，起到一定的防范作用。同时，在前端页面中，也应该做好输入验证和过滤，避免恶意输入。

而且Spring Boot中有转义HTML的工具。你可以使用Spring框架中的HtmlUtils类来进行转义，示例代码如下：

import org.springframework.web.util.HtmlUtils;
public class HtmlEscapeExample {
    public static void main(String[] args) {
        String unescapedString = "
Hello World
";
        String escapedString = HtmlUtils.htmlEscape(unescapedString);
        System.out.println(escapedString);
        // output: <h1>Hello World</h1>
      String unescapedString = HtmlUtils.htmlUnescape(escapedString);
      System.out.println(unescapedString); // 输出：
Hello World
      
    }
}

在这个示例中，我们使用HtmlUtils类来转义一个包含HTML标记的字符串。使用htmlEscape()方法对字符串进行转义后，输出结果是一个转义后的字符串。HtmlUtils类中的htmlUnescape方法，将HTML转义字符还原成对应的字符，然后输出结果。具体来说，escapedString变量中包含了HTML转义字符编码，如"<"代表小于号 “<”，使用htmlUnescape方法将其还原成实际字符，即 “

Hello World

”，然后将其打印到控制台上。

注意：在使用转义工具时，需要注意转义级别。例如，在输出到HTML的属性中时，需要使用htmlEscape属性来保护javascript和CSS。在输出到javascript或CSS中时，需要使用jsEscape和cssEscape属性来转义。