在我的遗留项目中,我可以在将字符串发送到浏览器之前看到escapeHtml的用法。当我需要转义Html字符串?
StringEscapeUtils.escapeHtml(stringBody);
我从API文档知道什么escapeHtml does.here是给出的例子: -
For example:
"bread" & "butter"
becomes:
"bread" & "butter".
我的理解是,当我们逃避的HTML浏览器的责任,其将 回后发送字符串原始人物。是对的吗?
但我没有得到为什么,当它是必需的,如果我们发送字符串正文而不转义html会发生什么?如果我们在发送给浏览器之前不做escapeHtml,那么它的代价是什么
Ted再次,我的问题是如何逃离HTML帮助将它发送到浏览器?如果我们不这样做成本是多少? –
@MSach - 我扩大了我的答案。 –
谢谢泰德详细的解释。还有一个问题是,当我们发送字符&浏览器时,浏览器在渲染之前是否自动将该字符(在这种情况下<)自动转换为? –