Рекомендований метод для втечі HTML на Java

Чи є спосіб рекомендується бігти <, >, "і &символи, якщо розпечатати HTML в звичайному коді Java? (Крім того, що вручну виконайте наступне, тобто).

String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "&lt;").replace("&", "&amp;"); // ...

StringEscapeUtils від Apache Commons Lang :

import static org.apache.commons.lang.StringEscapeUtils.escapeHtml;
// ...
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = escapeHtml(source);

Для версії 3 :

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;
// ...
String escaped = escapeHtml4(source);

Альтернатива Apache Commons: Використання Spring «s HtmlUtils.htmlEscape(String input)метод.

Хороший короткий метод:

public static String escapeHTML(String s) {
    StringBuilder out = new StringBuilder(Math.max(16, s.length()));
    for (int i = 0; i < s.length(); i++) {
        char c = s.charAt(i);
        if (c > 127 || c == '"' || c == '\'' || c == '<' || c == '>' || c == '&') {
            out.append("&#");
            out.append((int) c);
            out.append(';');
        } else {
            out.append(c);
        }
    }
    return out.toString();
}

На основі https://stackoverflow.com/a/8838023/1199155 (підсилювач там відсутній). Чотири символи, перевірені в пункті if, є єдиними під 128, відповідно до http://www.w3.org/TR/html4/sgml/entities.html

Існує новіша версія бібліотеки Apache Commons Lang, і вона використовує іншу назву пакета (org.apache.commons.lang3). StringEscapeUtilsТепер мають різні статичні методи для втечі різних типів документів ( http://commons.apache.org/proper/commons-lang/javadocs/api-3.0/index.html ). Отже, щоб уникнути рядка HTML версії 4.0:

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;

String output = escapeHtml4("The less than sign (<) and ampersand (&) must be escaped before using them in HTML");

Для тих, хто використовує Google Guava:

import com.google.common.html.HtmlEscapers;
[...]
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = HtmlEscapers.htmlEscaper().escape(source);

На android (API 16 або вище) ви можете:

Html.escapeHtml(textToScape);

або для нижчого API:

TextUtils.htmlEncode(textToScape);

Будьте обережні з цим. У документі HTML є декілька різних "контекстів": Всередині елемента, значення атрибута, що цитується, значення атрибута, яке не цитується, атрибут URL, javascript, CSS тощо ... Вам потрібно буде використовувати інший метод кодування для кожного з вони запобігають міжсайтовому сценарію (XSS). Перевірте чит-лист OWASP XSS Prevention, щоб отримати детальну інформацію про кожен із цих контекстів. Ви можете знайти методи виходу для кожного з цих контекстів у бібліотеці OWASP ESAPI - https://github.com/ESAPI/esapi-java-legacy .

Для деяких цілей HtmlUtils :

import org.springframework.web.util.HtmlUtils;
[...]
HtmlUtils.htmlEscapeDecimal("&"); //gives &
HtmlUtils.htmlEscape("&"); //gives &

Хоча відповідь @dfa org.apache.commons.lang.StringEscapeUtils.escapeHtmlприємна, і я раніше її використовував, вона не повинна використовуватися для атрибутів HTML (або XML), інакше пробіл буде нормалізований (тобто всі сусідні символи пробілу стають єдиним пробілом).

Я знаю це, тому що у мене були подані помилки проти моєї бібліотеки (JATL) за атрибутами, де пробіл не зберігався. Таким чином, у мене є падіння класу (copy n 'paste) (з якого я вкрав деякі з JDOM), що відрізняє уникнення атрибутів та вмісту елементів. .

Незважаючи на те, що це не мало значення в минулому (правильне уникнення атрибуту), все більше викликає більший інтерес з огляду на використання використання data-атрибутів HTML5 .

org.apache.commons.lang3.StringEscapeUtils тепер застарілий. Тепер ви повинні використовувати org.apache.commons.text.StringEscapeUtils від

    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-text</artifactId>
        <version>${commons.text.version}</version>
    </dependency>

Більшість бібліотек пропонують уникнути всього, що можуть, в тому числі сотні символів та тисячі символів, що не належать до ASCII, а це не те, що потрібно у світі UTF-8.

Крім того, як зауважив Джефф Вільямс, не існує жодного варіанту «втечі HTML», є кілька контекстів.

Якщо припустити, що ви ніколи не використовуєте атрибути, які не котируються, і маючи на увазі, що існують різні контексти, я написав мою власну версію:

private static final long BODY_ESCAPE =
        1L << '&' | 1L << '<' | 1L << '>';
private static final long DOUBLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '<' | 1L << '>';
private static final long SINGLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '\'' | 1L << '<' | 1L << '>';

// 'quot' and 'apos' are 1 char longer than '#34' and '#39' which I've decided to use
private static final String REPLACEMENTS = "&#34;&amp;&#39;&lt;&gt;";
private static final int REPL_SLICES = /*  |0,   5,   10,  15, 19, 23*/
        5<<5 | 10<<10 | 15<<15 | 19<<20 | 23<<25;
// These 5-bit numbers packed into a single int
// are indices within REPLACEMENTS which is a 'flat' String[]

private static void appendEscaped(
        StringBuilder builder,
        CharSequence content,
        long escapes // pass BODY_ESCAPE or *_QUOTED_ATTR_ESCAPE here
) {
    int startIdx = 0, len = content.length();
    for (int i = 0; i < len; i++) {
        char c = content.charAt(i);
        long one;
        if (((c & 63) == c) && ((one = 1L << c) & escapes) != 0) {
        // -^^^^^^^^^^^^^^^   -^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        // |                  | take only dangerous characters
        // | java shifts longs by 6 least significant bits,
        // | e. g. << 0b110111111 is same as >> 0b111111.
        // | Filter out bigger characters

            int index = Long.bitCount(SINGLE_QUOTED_ATTR_ESCAPE & (one - 1));
            builder.append(content, startIdx, i /* exclusive */)
                    .append(REPLACEMENTS,
                            REPL_SLICES >>> 5*index & 31,
                            REPL_SLICES >>> 5*(index+1) & 31);
            startIdx = i + 1;
        }
    }
    builder.append(content, startIdx, len);
}

Спробуйте скопіювати копіювання з Gist без обмеження довжини рядка .