जावा में HTML से बचने के लिए अनुशंसित विधि

वहाँ से बचने के लिए एक सिफारिश रास्ता नहीं है <, >, "और &सादे जावा कोड में पात्रों जब outputting एचटीएमएल? (निम्नलिखित को मैन्युअल रूप से करने के अलावा, वह है)।

String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "&lt;").replace("&", "&amp;"); // ...

StringEscapeUtils से अपाचे कॉमन्स लैंग :

import static org.apache.commons.lang.StringEscapeUtils.escapeHtml;
// ...
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = escapeHtml(source);

के लिए 3 संस्करण :

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;
// ...
String escaped = escapeHtml4(source);

अपाचे कॉमन्स के लिए एक विकल्प: स्प्रिंग की HtmlUtils.htmlEscape(String input)विधि का उपयोग करें ।

अच्छी छोटी विधि:

public static String escapeHTML(String s) {
    StringBuilder out = new StringBuilder(Math.max(16, s.length()));
    for (int i = 0; i < s.length(); i++) {
        char c = s.charAt(i);
        if (c > 127 || c == '"' || c == '\'' || c == '<' || c == '>' || c == '&') {
            out.append("&#");
            out.append((int) c);
            out.append(';');
        } else {
            out.append(c);
        }
    }
    return out.toString();
}

Https://stackoverflow.com/a/8838023/1199155 के आधार पर (वहां amp गायब है)। यदि चार खंडों में चेक किए गए चार अक्षर 128 से नीचे वाले हैं, तो http://www.w3.org/TR/html4/sgml/entities.html के अनुसार

अपाचे कॉमन्स लैंग लाइब्रेरी का एक नया संस्करण है और यह एक अलग पैकेज नाम (org.apache.commons.ln3) का उपयोग करता है। StringEscapeUtilsअब दस्तावेजों के विभिन्न प्रकार से बचने के लिए अलग अलग तरीकों स्थिर है ( http://commons.apache.org/proper/commons-lang/javadocs/api-3.0/index.html )। तो HTML संस्करण 4.0 स्ट्रिंग से बचने के लिए:

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;

String output = escapeHtml4("The less than sign (<) and ampersand (&) must be escaped before using them in HTML");

Google अमरूद का उपयोग करने वालों के लिए:

import com.google.common.html.HtmlEscapers;
[...]
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = HtmlEscapers.htmlEscaper().escape(source);

Android पर (API 16 या अधिक) आप कर सकते हैं:

Html.escapeHtml(textToScape);

या निम्न API के लिए:

TextUtils.htmlEncode(textToScape);

इससे सावधान रहें। HTML डॉक्यूमेंट के भीतर कई अलग-अलग 'संदर्भ' होते हैं: एक तत्व के अंदर, उद्धृत विशेषता मान, अनक्लेटेड एट्रीब्यूट वैल्यू, URL विशेषता, जावास्क्रिप्ट, सीएसएस, आदि ... आपको प्रत्येक आईडी के लिए एक अलग एन्कोडिंग विधि का उपयोग करने की आवश्यकता होगी क्रॉस-साइट स्क्रिप्टिंग (XSS) को रोकने के लिए ये। चेक OWASP XSS रोकथाम चीट शीट इन संदर्भों में से प्रत्येक पर जानकारी के लिए। आप OWASP ESAPI पुस्तकालय में इन संदर्भों में से प्रत्येक के लिए बचने के तरीके पा सकते हैं - https://github.com/ESAPI/esapi-java-legacy ।

कुछ उद्देश्यों के लिए, HtmlUtils :

import org.springframework.web.util.HtmlUtils;
[...]
HtmlUtils.htmlEscapeDecimal("&"); //gives &
HtmlUtils.htmlEscape("&"); //gives &

जबकि @dfa का उत्तर org.apache.commons.lang.StringEscapeUtils.escapeHtmlअच्छा है और मैंने इसे अतीत में इस्तेमाल किया है इसे HTML (या XML) विशेषताओं से बचने के लिए उपयोग नहीं किया जाना चाहिए अन्यथा व्हाट्सएप सामान्यीकृत हो जाएगा (जिसका अर्थ है कि सभी आसन्न व्हाट्सएप वर्ण एकल स्थान बन जाते हैं)।

मुझे यह पता है क्योंकि मैंने अपने पुस्तकालय (जेएटीएल) के खिलाफ उन विशेषताओं के लिए बग दर्ज किया है जहां व्हाट्सएप संरक्षित नहीं था। इस प्रकार मेरे पास ड्रॉप (कॉपी n 'पेस्ट) वर्ग है (जिनमें से मैंने JDOM से कुछ चुराया है) जो विशेषताओं और तत्व सामग्री के भागने को अलग करता है ।

हालांकि यह अतीत (उचित विशेषता से बचना) में उतना अधिक मायने नहीं रखता है, यह HTML5 के data-विशेषता उपयोग के उपयोग को देखते हुए अधिक से अधिक ब्याज बन रहा है ।

org.apache.commons.lang3.StringEscapeUtils अब हटा दिया गया है। अब आपको org.apache.commons.text.StringEscapeUtils का उपयोग करना चाहिए

    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-text</artifactId>
        <version>${commons.text.version}</version>
    </dependency>

सबसे अधिक पुस्तकालय उन सभी चीजों से बचने की पेशकश करते हैं, जिनमें सैकड़ों प्रतीक और हजारों गैर-एएससीआईआई अक्षर शामिल हैं जो आप यूटीएफ -8 दुनिया में नहीं चाहते हैं।

इसके अलावा, जेफ विलियम्स ने कहा, कोई एकल "एस्केप HTML" विकल्प नहीं है, कई संदर्भ हैं।

यह मानते हुए कि आप कभी भी अछूता विशेषताओं का उपयोग नहीं करते हैं, और यह ध्यान में रखते हुए कि विभिन्न संदर्भ मौजूद हैं, इसने मेरा अपना संस्करण लिखा है:

private static final long BODY_ESCAPE =
        1L << '&' | 1L << '<' | 1L << '>';
private static final long DOUBLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '<' | 1L << '>';
private static final long SINGLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '\'' | 1L << '<' | 1L << '>';

// 'quot' and 'apos' are 1 char longer than '#34' and '#39' which I've decided to use
private static final String REPLACEMENTS = "&#34;&amp;&#39;&lt;&gt;";
private static final int REPL_SLICES = /*  |0,   5,   10,  15, 19, 23*/
        5<<5 | 10<<10 | 15<<15 | 19<<20 | 23<<25;
// These 5-bit numbers packed into a single int
// are indices within REPLACEMENTS which is a 'flat' String[]

private static void appendEscaped(
        StringBuilder builder,
        CharSequence content,
        long escapes // pass BODY_ESCAPE or *_QUOTED_ATTR_ESCAPE here
) {
    int startIdx = 0, len = content.length();
    for (int i = 0; i < len; i++) {
        char c = content.charAt(i);
        long one;
        if (((c & 63) == c) && ((one = 1L << c) & escapes) != 0) {
        // -^^^^^^^^^^^^^^^   -^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        // |                  | take only dangerous characters
        // | java shifts longs by 6 least significant bits,
        // | e. g. << 0b110111111 is same as >> 0b111111.
        // | Filter out bigger characters

            int index = Long.bitCount(SINGLE_QUOTED_ATTR_ESCAPE & (one - 1));
            builder.append(content, startIdx, i /* exclusive */)
                    .append(REPLACEMENTS,
                            REPL_SLICES >>> 5*index & 31,
                            REPL_SLICES >>> 5*(index+1) & 31);
            startIdx = i + 1;
        }
    }
    builder.append(content, startIdx, len);
}

लाइन लंबाई सीमा के बिना Gist से कॉपी-पेस्टिंग पर विचार करें ।