我使用OWASP(ESAPI)库,以及,为了躲避针对不同类型的显示器,使用字符串:
String html = ESAPI.encoder().encodeForHTML("hello <how> are 'you'");
String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello <how> are 'you'");
String js = ESAPI.encoder().encodeForJavaScript("hello <how> are 'you'");
HTML(假设JSP)
<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>
更新()
由于ESAPI编码器被认为是legacy,更好的替代品已经创建并且正在积极维护,我强烈建议使用OWASP Java Encoder来代替。
如果您的项目已经使用ESAPI
,则添加了integration,它允许您使用此库进行编码。
的用法是在他们wiki page解释,但完成的缘故,这是你可以用它来上下文编码您的数据:
// HTML Context
String html = Encoder.forHtml("u<ntrus>te'd'");
// HTML Attribute Context
String htmlAttr = Encoder.forHtmlAttribute("u<ntrus>te'd'");
// Javascript Attribute Context
String jsAttr = Encoder.forJavaScriptAttribute("u<ntrus>te'd'");
HTML(假设JSP)
<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')">
<%= html %>
</div>
PS:存在更多上下文并且由库支持
''→''和'% - > &perc;'(对于XSS,每%34等编码字符) – 2012-01-18 11:58:43
@JoopEggen在什么情况下用'&perc;'代替'%'有用? – Gumbo 2012-01-18 12:26:58
@Gumbo'&perc;'确实对XSS的用处不大,但它可能会混淆网址。浏览器不会为其字符使用%代码,即:''不会调用JavaScript。 – 2012-01-19 04:15:38