Java 正则表达式，小于号和大于号

Question

我有一个用户可以在互联网上输入的字符串，目前它没有针对 XSS 攻击的保护。我希望能够替换 <和>符号。俗称“小于”、“大于”、“尖括号”等。

我确信这个问题已经被问过一百万次了，但我找不到一个简单的答案。我认为正则表达式是前进的方向，但无法弄清楚如何选择这些字符。

Answer 1

你真的应该使用 StringEscapeUtils.escapeHtml() 来自 Apache Commons Lang 来代替正则表达式。例如，您需要做的就是：

String escaped = StringEscapeUtils.escapeHtml(input);

防止 XSS 的最佳实践是转义所有 HTML 实体，此方法可以为您处理这些情况。否则，您将编写、测试和维护自己的代码来完成已经完成的事情。有关更多详细信息，请参阅 OWASP XSS（跨站脚本）预防备忘单 。

Answer 2

Java 正则表达式不需要对尖括号进行任何特殊处理。这应该可以正常工作：

myString.replace("<", "less than").replace(">", "greater than");

希望有帮助。

-tjw

Answer 3

作为正则表达式的替代方案，您可以使用 Apache Commons 等实用程序类 StringEscapeUtils 类，用于在将 HTML 字符串发回服务器时以及将它们存储在数据库中或将它们作为输出重新发送之前对其进行编码。

Answer 4

由于您标记了此 jsp，我想添加在 JSP 中转义 HTML/XML 的正常方法是使用 JSTL < /code> 标记或 fn:escapeXml() 函数。

例如，

<c:out value="${user.name}" />
<input type="text" name="name" value="${fn:escapeXml(user.name)}" />

不需要 Apache Commons Lang。另外，转义实际上应该在视图侧完成，而不是在模型/控制器侧完成。

另请参阅：

• JSP 中的 XSS 预防