Esiste un modo consigliato di sfuggire a <
, , "
e &
caratteri durante l'emissione di codice HTML in codice Java semplice? (Oltre a fare manualmente quanto segue, cioè).Metodo consigliato per l'escape dell'HTML in Java
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "<").replace("&", "&"); // ...
essere consapevoli del fatto che se si è l'output in un attributo HTML non quotate, che altro caratteri come spazio, tab, backspace, ecc ... possono consentire agli attaccanti di introdurre attributi javascript senza nessuno dei caratteri elencati. Per ulteriori informazioni, consulta il foglio di prevenzione della prevenzione XSS di OWASP. –