What is `StringEscapeUtils.escapeHtml4` does?

StringEscapeUtils.escapeHtml4 作用是将特殊字符转换为它们对应的HTML实体形式,从而防止这些字符在网页中被解析为HTML标签脚本,有助于防止跨站脚本攻击(XSS, Cross-Site Scripting)

依赖

xml 复制代码
<!--org.apache.commons.text.StringEscapeUtils-->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-text</artifactId>
    <version>1.10.0</version>
</dependency>

样例

xml 复制代码
< 将被转义为 &lt;
> 将被转义为 &gt;
& 将被转义为 &amp;
双引号 (") 会被转义为 &quot;
单引号 (') 在HTML4中通常不转义,但在严格模式下或者为了兼容XHTML,可能会转义为 &#39;
csharp 复制代码
String unescaped = "<script>alert('XSS');</script>";

String escaped = StringEscapeUtils.escapeHtml4(unescaped);
# 结果: &lt;script&gt;alert(&#39;XSS&#39;);&lt;/script&gt;

对于现代Web应用来说,建议使用更全面的安全策略来防止XSS攻击,而不仅仅是依赖于这种简单的转义操作。

相关推荐
超级小忍20 分钟前
JVM 中的垃圾回收算法及垃圾回收器详解
java·jvm
weixin_4461224622 分钟前
JAVA内存区域划分
java·开发语言·redis
勤奋的小王同学~1 小时前
(javaEE初阶)计算机是如何组成的:CPU基本工作流程 CPU介绍 CPU执行指令的流程 寄存器 程序 进程 进程控制块 线程 线程的执行
java·java-ee
TT哇1 小时前
JavaEE==网站开发
java·redis·java-ee
2401_826097621 小时前
JavaEE-Linux环境部署
java·linux·java-ee
缘来是庄2 小时前
设计模式之访问者模式
java·设计模式·访问者模式
Bug退退退1232 小时前
RabbitMQ 高级特性之死信队列
java·分布式·spring·rabbitmq
梵高的代码色盘2 小时前
后端树形结构
java
代码的奴隶(艾伦·耶格尔)2 小时前
后端快捷代码
java·开发语言
虾条_花吹雪3 小时前
Chat Model API
java