当前位置: 首页 > news >正文

What is `StringEscapeUtils.escapeHtml4` does?

news 来源:原创 2025/5/14 0:01:39

StringEscapeUtils.escapeHtml4 作用是将特殊字符转换为它们对应的HTML实体形式,从而防止这些字符在网页中被解析为HTML标签脚本,有助于防止跨站脚本攻击(XSS, Cross-Site Scripting)

依赖

<!--org.apache.commons.text.StringEscapeUtils-->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-text</artifactId>
    <version>1.10.0</version>
</dependency>

样例

< 将被转义为 &lt;
> 将被转义为 &gt;
& 将被转义为 &amp;
双引号 (") 会被转义为 &quot;
单引号 (') 在HTML4中通常不转义,但在严格模式下或者为了兼容XHTML,可能会转义为 &#39;

String unescaped = "<script>alert('XSS');</script>";

String escaped = StringEscapeUtils.escapeHtml4(unescaped);
# 结果: &lt;script&gt;alert(&#39;XSS&#39;);&lt;/script&gt;

对于现代Web应用来说,建议使用更全面的安全策略来防止XSS攻击,而不仅仅是依赖于这种简单的转义操作。

相关文章:

  • 【明道云】学习笔记1-了解APaaS
  • 数据结构·顺序表应用
  • Golang 中的反射,并用来获取数据类型
  • 如何将想要执行的代码和Spring Boot 项目的启动类一起执行(ES为例)
  • 【高危】Apache Solr 环境变量信息泄漏漏洞
  • 37-WEB漏洞-反序列化之PHPJAVA全解(上)
  • 【刷题笔记4】
  • IOT pwn
  • Redis 笔记一
  • 数据分析实战:城市房价分析
  • 从浅入深讲解Java继承
  • ctfshow-反序列化(web267-web270)
  • 用的到的linux-Day1
  • 100天精通Python(实用脚本篇)——第113天:基于Tesseract-OCR实现OCR图片文字识别实战
  • 如何发布自己的npm包
  • C语言算法赛——蓝桥杯(省赛试题)
  • 基于SpringBoot Vue高校失物招领系统
  • Docker consul
  • Flink(十四)【Flink SQL(中)查询】
  • How to disagree with ideas
  • 内塔尼亚胡:以军将在未来几天“全力进入”加沙
  • 秦洪看盘|交易新逻辑,银行股成A股稳定器
  • 摩根士丹利:对冲基金已加码,八成投资者有意近期增配中国
  • 历史地理学者成一农重回母校北京大学,担任历史系教授
  • 全国重点网络媒体和网络达人走进沧州,探寻“文武双全”的多重魅力
  • 新城市志|上海再攻坚,营商环境没有最好只有更好