HTML实体转义以防止XSS

HTML实体转义以防止XSS

我也使用OWASP（ESAPI）库，以转义不同显示类型的字符串，请使用：

String html = ESAPI.enprer().enpreForHTML("hello < how > are 'you'");String html_attr = ESAPI.enprer().enpreForHTMLAttribute("hello < how > are 'you'");String js = ESAPI.enprer().enpreForJavascript("hello < how > are 'you'");

HTML（假设为jsp）

<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>

更新 （ 2017 ）

由于ESAPI编码器被认为是旧版，因此已经创建了一个更好的替代方案，并且正在积极维护中，我强烈建议改用OWASP
Java编码器
。

如果您的项目已经使用

ESAPI

，则添加了集成，您可以使用该库进行编码。

其用法已在其Wiki页面上进行了说明，但是为了完整起见，这是您可以使用它来对数据进行上下文编码的方式：

// HTML ContextString html = Enprer.forHtml("u<ntrus>te'd'");// HTML Attribute ContextString htmlAttr = Enprer.forHtmlAttribute("u<ntrus>te'd'");// Javascript Attribute ContextString jsAttr = Enprer.forJavascriptAttribute("u<ntrus>te'd'");

HTML（假设为jsp）

<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')">    <%= html %></div>

PS： 存在更多上下文，并且库支持