What is `StringEscapeUtils.escapeHtml4` does?

StringEscapeUtils.escapeHtml4 作用是将特殊字符转换为它们对应的HTML实体形式,从而防止这些字符在网页中被解析为HTML标签脚本,有助于防止跨站脚本攻击(XSS, Cross-Site Scripting)

依赖

xml 复制代码
<!--org.apache.commons.text.StringEscapeUtils-->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-text</artifactId>
    <version>1.10.0</version>
</dependency>

样例

xml 复制代码
< 将被转义为 &lt;
> 将被转义为 &gt;
& 将被转义为 &amp;
双引号 (") 会被转义为 &quot;
单引号 (') 在HTML4中通常不转义,但在严格模式下或者为了兼容XHTML,可能会转义为 &#39;
csharp 复制代码
String unescaped = "<script>alert('XSS');</script>";

String escaped = StringEscapeUtils.escapeHtml4(unescaped);
# 结果: &lt;script&gt;alert(&#39;XSS&#39;);&lt;/script&gt;

对于现代Web应用来说,建议使用更全面的安全策略来防止XSS攻击,而不仅仅是依赖于这种简单的转义操作。

相关推荐
wuqingshun3141593 小时前
什么是责任链模式,一般用在什么场景?
java·责任链模式
:-)4 小时前
算法-归并排序
java·开发语言·数据结构·算法·排序算法
wuqingshun3141594 小时前
说一下消息队列的模型有哪些?
java
fīɡЙtīиɡ ℡5 小时前
布隆过滤器
java
yaoxin5211236 小时前
462. Java 反射 - 获取声明类与封闭类
java·开发语言·python
wuqingshun3141598 小时前
MYSQL的乐观锁和悲观锁是什么?
java
唐青枫8 小时前
Java SLF4J 实战指南:从日志门面到 Logback、MDC 和链路追踪
java
jvmind_dev9 小时前
Java GC 实战指南(番外篇):被忽视的隐形杀手 —— Class Unloading 如何拖垮 GC
java·后端
An_s9 小时前
机器学习python之识别图中物品信息
java·linux·开发语言
AIGS0019 小时前
跨越语义鸿沟:企业本体语义平台的构建与落地
java·人工智能·python·机器学习·人工智能ai大模型应用