วิธีที่แนะนำสำหรับการหลีกเลี่ยง HTML ใน Java

มีวิธีที่แนะนำที่จะหลบหนี<, >, "และ&ตัวอักษรเมื่อ outputting HTML ในรหัส Java ธรรมดา? (นอกเหนือจากการทำสิ่งเหล่านี้ด้วยตนเองนั่นคือ)

String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "&lt;").replace("&", "&amp;"); // ...

StringEscapeUtilsจากApache Commons Lang :

import static org.apache.commons.lang.StringEscapeUtils.escapeHtml;
// ...
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = escapeHtml(source);

สำหรับเวอร์ชัน 3 :

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;
// ...
String escaped = escapeHtml4(source);

ทางเลือกอื่นสำหรับ Apache Commons: ใช้วิธีของSpringHtmlUtils.htmlEscape(String input)

วิธีสั้น ๆ ที่ดี:

public static String escapeHTML(String s) {
    StringBuilder out = new StringBuilder(Math.max(16, s.length()));
    for (int i = 0; i < s.length(); i++) {
        char c = s.charAt(i);
        if (c > 127 || c == '"' || c == '\'' || c == '<' || c == '>' || c == '&') {
            out.append("&#");
            out.append((int) c);
            out.append(';');
        } else {
            out.append(c);
        }
    }
    return out.toString();
}

อ้างอิงจากhttps://stackoverflow.com/a/8838023/1199155 (แอมป์ขาดหายไป) อักขระสี่ตัวที่ตรวจสอบในประโยคถ้าเป็นเพียงตัวอักษรที่ต่ำกว่า 128 ตามhttp://www.w3.org/TR/html4/sgml/entities.html

มีไลบรารี Apache Commons Langเวอร์ชันใหม่กว่าและใช้ชื่อแพ็กเกจอื่น (org.apache.commons.lang3) StringEscapeUtilsตอนนี้มีวิธีการคงแตกต่างกันสำหรับการหลบหนีชนิดของเอกสาร ( http://commons.apache.org/proper/commons-lang/javadocs/api-3.0/index.html ) ดังนั้นเพื่อหลีกเลี่ยงสตริง HTML เวอร์ชัน 4.0:

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;

String output = escapeHtml4("The less than sign (<) and ampersand (&) must be escaped before using them in HTML");

สำหรับผู้ที่ใช้ Google Guava:

import com.google.common.html.HtmlEscapers;
[...]
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = HtmlEscapers.htmlEscaper().escape(source);

บน android (API 16 หรือสูงกว่า) คุณสามารถ:

Html.escapeHtml(textToScape);

หรือสำหรับ API ที่ต่ำกว่า:

TextUtils.htmlEncode(textToScape);

ระวังด้วยนะ มี 'บริบท' ที่แตกต่างกันจำนวนหนึ่งภายในเอกสาร HTML: ภายในองค์ประกอบ, ค่าแอตทริบิวต์ที่ยกมา, ค่าแอตทริบิวต์ที่ไม่มีเครื่องหมายอัญประกาศ, แอตทริบิวต์ URL, javascript, CSS, ฯลฯ ... คุณจะต้องใช้วิธีการเข้ารหัสที่แตกต่างกันสำหรับแต่ละ สิ่งเหล่านี้เพื่อป้องกัน Cross-Site Scripting (XSS) ตรวจสอบเอกสารการป้องกัน OWASP XSSสำหรับรายละเอียดเกี่ยวกับบริบทเหล่านี้ คุณสามารถหาวิธีการหลบหนีสำหรับแต่ละบริบทเหล่านี้ในห้องสมุด OWASP ESAPI - https://github.com/ESAPI/esapi-java-legacy

สำหรับวัตถุประสงค์บางอย่างHtmlUtils :

import org.springframework.web.util.HtmlUtils;
[...]
HtmlUtils.htmlEscapeDecimal("&"); //gives &
HtmlUtils.htmlEscape("&"); //gives &

ในขณะที่คำตอบ @dfa org.apache.commons.lang.StringEscapeUtils.escapeHtmlเป็นสิ่งที่ดีและฉันเคยใช้มาแล้วในอดีตไม่ควรใช้เพื่อหลบหนีแอตทริบิวต์ HTML (หรือ XML) มิฉะนั้นช่องว่างจะถูกทำให้เป็นมาตรฐาน (หมายถึงอักขระช่องว่างที่อยู่ติดกันทั้งหมดกลายเป็นช่องว่างเดียว)

ฉันรู้สิ่งนี้เพราะฉันมีข้อบกพร่องยื่นต่อห้องสมุดของฉัน (JATL) สำหรับคุณลักษณะที่ช่องว่างไม่ได้ถูกเก็บรักษาไว้ ดังนั้นฉันมีการลดลงใน (คัดลอกวาง ' คลาส ) (ซึ่งฉันขโมยบางส่วนจาก JDOM) ที่แตกต่างการหลบหนีของคุณลักษณะและเนื้อหาองค์ประกอบที่แตกต่างหนีของคุณลักษณะและเนื้อหาองค์ประกอบ

แม้ว่าสิ่งนี้อาจไม่ได้มีความสำคัญเท่าในอดีต (การหลบหนีของคุณสมบัติที่เหมาะสม) แต่ก็เป็นที่สนใจมากขึ้นเนื่องจากการใช้การใช้data-คุณลักษณะของ HTML5

org.apache.commons.lang3.StringEscapeUtils เลิกใช้แล้ว ตอนนี้คุณต้องใช้ org.apache.commons.text.StringEscapeUtils โดย

    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-text</artifactId>
        <version>${commons.text.version}</version>
    </dependency>

ห้องสมุดส่วนใหญ่เสนอการหลบหนีทุกอย่างที่ทำได้รวมถึงสัญลักษณ์หลายร้อยตัวและอักขระที่ไม่ใช่ ASCII หลายพันตัวซึ่งไม่ใช่สิ่งที่คุณต้องการในโลก UTF-8

นอกจากนี้ดังที่ Jeff Williams ตั้งข้อสังเกตไม่มีตัวเลือก“ escape HTML” เดียวมีหลายบริบท

สมมติว่าคุณไม่เคยใช้แอททริบิวที่ยังไม่ได้อ้างถึงและระลึกไว้เสมอว่ามีบริบทที่แตกต่างกันมันได้เขียนเวอร์ชั่นของฉันเอง:

private static final long BODY_ESCAPE =
        1L << '&' | 1L << '<' | 1L << '>';
private static final long DOUBLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '<' | 1L << '>';
private static final long SINGLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '\'' | 1L << '<' | 1L << '>';

// 'quot' and 'apos' are 1 char longer than '#34' and '#39' which I've decided to use
private static final String REPLACEMENTS = "&#34;&amp;&#39;&lt;&gt;";
private static final int REPL_SLICES = /*  |0,   5,   10,  15, 19, 23*/
        5<<5 | 10<<10 | 15<<15 | 19<<20 | 23<<25;
// These 5-bit numbers packed into a single int
// are indices within REPLACEMENTS which is a 'flat' String[]

private static void appendEscaped(
        StringBuilder builder,
        CharSequence content,
        long escapes // pass BODY_ESCAPE or *_QUOTED_ATTR_ESCAPE here
) {
    int startIdx = 0, len = content.length();
    for (int i = 0; i < len; i++) {
        char c = content.charAt(i);
        long one;
        if (((c & 63) == c) && ((one = 1L << c) & escapes) != 0) {
        // -^^^^^^^^^^^^^^^   -^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        // |                  | take only dangerous characters
        // | java shifts longs by 6 least significant bits,
        // | e. g. << 0b110111111 is same as >> 0b111111.
        // | Filter out bigger characters

            int index = Long.bitCount(SINGLE_QUOTED_ATTR_ESCAPE & (one - 1));
            builder.append(content, startIdx, i /* exclusive */)
                    .append(REPLACEMENTS,
                            REPL_SLICES >>> 5*index & 31,
                            REPL_SLICES >>> 5*(index+1) & 31);
            startIdx = i + 1;
        }
    }
    builder.append(content, startIdx, len);
}

พิจารณาการคัดลอกจากGist โดยไม่จำกัดความยาวของบรรทัดสรุปสาระสำคัญได้โดยไม่ต้องเส้นขีดจำกัดความยาว