那些遇到过的问题

如何在JSP中转义特殊的HTML字符?

Fre*_*est 35 html java jsp escaping

在我创建自定义标记或Java方法之前,在JSP中转义HTML字符的标准方法是什么?

我有一个String对象,我想在HTML中显示它,以便它按原样显示给用户.

例如:

String a = "Hello < World";
Run Code Online (Sandbox Code Playgroud)

会成为:

Hello &lt; World
Run Code Online (Sandbox Code Playgroud)

Sla*_*ast 52

简短回答: 

<c:out value="${myString}"/>
Run Code Online (Sandbox Code Playgroud)

还有另一种选择: 

<%@taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
${fn:escapeXml(myString)}
Run Code Online (Sandbox Code Playgroud)

  • 要小心,因为转义XML和HTML之间存在差异. (7认同)
  • 是的,着名的可怕的`'`:*字符实体引用&lt;,&gt;,&quot; 和&amp; 在HTML和SGML中预定义,因为<,>,"和&已经用于分隔标记.这显然不包括XML的'(')实体.有关所有命名的HTML字符实体引用的列表,请参阅XML列表和HTML字符实体引用(大约250个条目).* - 来自维基百科:http://en.wikipedia.org/wiki/Character_encodings_in_HTML (4认同)
  • 请注意,这不会阻止所有XSS漏洞!如果你有`var show = $ {fn:escapeXml(show)}`你不需要`<`或```来利用它! (3认同)

归档时间:

查看次数:

70920 次

最近记录:

13 年,8 月 前
escapeXml和escapeHtml有什么区别? 17
更多相关链接
相关归档
android上的非活动InputConnection警告的getExtractedText 120
如何处理Findbugs"可序列化类中的非瞬态非可序列化实例字段"? 53
关于javaagents的教程 52
多次返回:哪一个设置最终返回值? 46
在swift中解析html的最佳做法是什么? 45
Apple触控图标未显示在主屏幕上 30
在spring过滤器中设置视图名称 9
JSP + Tomcat:单点登录 4
在 bash 中读取时转义规则 2
通过弹簧控制器从jsp获取价值 0
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
如何检查字符串是否包含特定单词? 2663
可以(a == 1 && a == 2 && a == 3)评估为真吗? 2438
我怎样才能找到带有Mathematica的Waldo? 1538
如何在所有浏览器中控制网页缓存? 1474
如何从另一个分支中获取一个文件 1154
什么是(功能)反应式编程? 1149
LF将被git中的CRLF取代 - 这是什么,它是否重要? 1146
网格布局上的手势检测 1076
"静态"在C中意味着什么? 1062