Có cách nào được khuyến nghị để thoát các ký tự <
, >
, "
và &
khi xuất HTML trong mã Java thuần túy không? (Khác hơn là làm theo cách thủ công như sau, nghĩa là).Phương pháp được khuyến nghị để thoát HTML trong Java
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "<").replace("&", "&"); // ...
Hãy lưu ý rằng nếu bạn đang cung cấp vào một thuộc tính HTML không thể viện chứng, rằng khác các ký tự như không gian, tab, backspace, v.v. có thể cho phép kẻ tấn công giới thiệu thuộc tính javascript mà không có bất kỳ ký tự nào được liệt kê. Xem Bảng chống gian lận XSS của OWASP để biết thêm. –