我也使用OWASP(ESAPI)库,以转义不同显示类型的字符串,请使用:
String html = ESAPI.enprer().enpreForHTML("hello < how > are 'you'");String html_attr = ESAPI.enprer().enpreForHTMLAttribute("hello < how > are 'you'");String js = ESAPI.enprer().enpreForJavascript("hello < how > are 'you'");HTML(假设为jsp)
<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>更新 ( 2017 )
由于ESAPI编码器被认为是旧版,因此已经创建了一个更好的替代方案,并且正在积极维护中,我强烈建议改用OWASP
Java编码器。
如果您的项目已经使用
ESAPI,则添加了集成,您可以使用该库进行编码。
其用法已在其Wiki页面上进行了说明,但是为了完整起见,这是您可以使用它来对数据进行上下文编码的方式:
// HTML ContextString html = Enprer.forHtml("u<ntrus>te'd'");// HTML Attribute ContextString htmlAttr = Enprer.forHtmlAttribute("u<ntrus>te'd'");// Javascript Attribute ContextString jsAttr = Enprer.forJavascriptAttribute("u<ntrus>te'd'");HTML(假设为jsp)
<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')"> <%= html %></div>PS: 存在更多上下文,并且库支持
