Java 中的轉義 HTML 符號

1. 概述

在廣闊的 Web 開發領域中， HTML 符號的處理在防範安全漏洞和確保網頁內容正確呈現方面發揮著至關重要的作用。

在本教程中，我們將探索在 Java 中轉義 HTML 符號的不同方法。通過這樣做，我們可以保護我們的應用程序免受跨站點腳本（XSS）攻擊並防止意外的標記解釋。

在深入研究解決方案之前，必須了解 HTML 符號轉義的概念。 HTML 符號，例如**<** 、 **>** 、 **&**等，在 HTML 標記的上下文中具有特定的含義。但是，當這些符號出現在用戶生成的內容或動態數據中時，必須正確轉義它們。否則可能會導致安全漏洞和網頁上潛在的渲染問題。

假設我們有一個 Java 應用程序，它接受用戶輸入並將其顯示在網頁上。用戶提供以下輸入：

String userInput = "<script>alert('Hello, Baeldung!');</script>";

如果我們直接在網頁上顯示用戶輸入而不轉義 HTML 符號，它將被渲染為 HTML 標籤並可以執行 JavaScript 代碼，從而導致潛在的 XSS 攻擊。

為了防止這種情況，我們需要在顯示用戶輸入之前轉義 HTML 符號。轉義 HTML 符號後，字符串應轉換為：

String escapedInput = "<script>alert('Hello, Baeldung!');</script>";

正如我們所看到的， **<**和**>**符號分別替換為<和> ，確保它們在網頁上顯示為純文本，而不是解釋為 HTML 標籤。

讓我們探討一下在 Java 中轉義 HTML 符號的多種方法：

Apache Commons Text 庫提供了一個可靠的實用程序類StringEscapeUtils ，它提供了用於轉義 HTML 符號的escapeHtml4()方法：

String input = "<div>Escape & test</div>";
 String escapedOutput = StringEscapeUtils.escapeHtml4(input);

Google Guava，一個強大的開源庫，也提供了使用HtmlEscapers類轉義 HTML 符號的解決方案：

String escapedOutput = HtmlEscapers.htmlEscaper().escape(input);

如果我們使用 Spring 框架，Spring 的HtmlUtils類提供了一種轉義 HTML 符號的便捷方法：

String escapedOutput = HtmlUtils.htmlEscape(input);

在本教程中，我們探索了在 Java 中轉義 HTML 符號的不同方法。轉義 HTML 符號對於保護 Web 應用程序免受 XSS 攻擊並確保動態內容的正確呈現至關重要。

本文中的示例代碼可以在 GitHub 上找到。