What is `StringEscapeUtils.escapeHtml4` does?

StringEscapeUtils.escapeHtml4 作用是将特殊字符转换为它们对应的HTML实体形式,从而防止这些字符在网页中被解析为HTML标签脚本,有助于防止跨站脚本攻击(XSS, Cross-Site Scripting)

依赖

xml 复制代码
<!--org.apache.commons.text.StringEscapeUtils-->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-text</artifactId>
    <version>1.10.0</version>
</dependency>

样例

xml 复制代码
< 将被转义为 &lt;
> 将被转义为 &gt;
& 将被转义为 &amp;
双引号 (") 会被转义为 &quot;
单引号 (') 在HTML4中通常不转义,但在严格模式下或者为了兼容XHTML,可能会转义为 &#39;
csharp 复制代码
String unescaped = "<script>alert('XSS');</script>";

String escaped = StringEscapeUtils.escapeHtml4(unescaped);
# 结果: &lt;script&gt;alert(&#39;XSS&#39;);&lt;/script&gt;

对于现代Web应用来说,建议使用更全面的安全策略来防止XSS攻击,而不仅仅是依赖于这种简单的转义操作。

相关推荐
全栈凯哥1 小时前
16.Spring Boot 国际化完全指南
java·spring boot·后端
M1A11 小时前
Java集合框架深度解析:LinkedList vs ArrayList 的对决
java·后端
Top`1 小时前
Java 泛型 (Generics)
java·开发语言·windows
爱吃土豆的马铃薯ㅤㅤㅤㅤㅤㅤㅤㅤㅤ2 小时前
如何使用Java WebSocket API实现客户端和服务器端的通信?
java·开发语言·websocket
是小崔啊2 小时前
tomcat源码02 - 理解Tomcat架构设计
java·tomcat
没有bug.的程序员2 小时前
JAVA面试宝典 -《安全攻防:从 SQL 注入到 JWT 鉴权》
java·安全·面试
栈溢出了2 小时前
MyBatis实现分页查询-苍穹外卖笔记
java·笔记·mybatis
morningcat20182 小时前
java17 gc笔记
java·jvm·笔记
3 小时前
Unity开发中常用的洗牌算法
java·算法·unity·游戏引擎·游戏开发
Your易元3 小时前
设计模式-模板方法模式
java·设计模式·模板方法模式