html 转义 xss,HTML-Entity转义防止XSS

我使用OWASP(ESAPI)库,以及,为了躲避针对不同类型的显示器,使用字符串:

String html = ESAPI.encoder().encodeForHTML("hello are 'you'");

String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello are 'you'");

String js = ESAPI.encoder().encodeForJavaScript("hello are 'you'");

HTML(假设JSP)

更新()

由于ESAPI编码器被认为是legacy,更好的替代品已经创建并且正在积极维护,我强烈建议使用OWASP Java Encoder来代替。

如果您的项目已经使用ESAPI,则添加了integration,它允许您使用此库进行编码。

的用法是在他们wiki page解释,但完成的缘故,这是你可以用它来上下文编码您的数据:

// HTML Context

String html = Encoder.forHtml("ute'd'");

// HTML Attribute Context

String htmlAttr = Encoder.forHtmlAttribute("ute'd'");

// Javascript Attribute Context

String jsAttr = Encoder.forJavaScriptAttribute("ute'd'");

HTML(假设JSP)

PS:存在更多上下文并且由库支持

你可能感兴趣的:(html,转义,xss)