StringEscapeUtils.unescapeHtml的使用
富文本提交数据到后台后,保存到数据库的格式可能是这样的:
<p>【产品名称】艾酷维多种维生素锌软糖</p>
我们有时候需要的是:
<p>【产品名称】艾酷维多种维生素锌软糖</p>
所以就需要用到 StringEscapeUtils 类进行转义和反转义
public static void main(String[] args) {String str = StringEscapeUtils.unescapeHtml4("<p>【产品名称】艾酷维多种维生素锌软糖</p>");
//获取数据库数据,相当于解码反转译System.out.println(str);String str2 = StringEscapeUtils.escapeHtml4("<p>【产品名称】艾酷维多种维生素锌软糖</p>");
//获取富文本编辑器数据,相当于过滤转译,防止跨站xss攻击System.out.println(str2);}
StringEscapeUtils.escapeHtml的具体使用
跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
对于不可信的输入可以采用 apache.commons.lang3.StringEscapeUtils 对输入字符串进行过滤,将’<’ ‘>’ ‘*’ 三个字符转换成html编码格式 < & >. 防止而已的HTML注入攻击
mport org.apache.commons.lang3.StringEscapeUtils;public class XSStest
{public static void main(String[] args){String s = "<alert>(123)(*&^%$#@!)</alert>";s = StringEscapeUtils.escapeHtml4(s);System.out.println(s);}
}
- <alert>(123)(*&^%$#@!)</alert>
可以有效的防止恶意的页面跳转,alert弹框。