Java转义

原创 于 2025-04-24 14:25:56 发布 · 849 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

在Java中实现自动转义通常涉及将特殊字符转换为HTML实体、XML实体或其他安全格式,以避免注入攻击(如XSS)或语法错误。以下是常见的实现方案及示例

1. 使用第三方库自动转义

推荐使用成熟的开源库,避免手动处理遗漏。

Apache Commons Text

import org.apache.commons.text.StringEscapeUtils;

// 转义HTML
String unsafeHtml = "<script>alert('xss')</script>";
String escapedHtml = StringEscapeUtils.escapeHtml4(unsafeHtml);
// 输出:&lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

// 反转义(如果需要)
String original = StringEscapeUtils.unescapeHtml4(escapedHtml);

Spring Framework

Spring的HtmlUtils类提供简单转义:

import org.springframework.web.util.HtmlUtils;

String unsafe = "Hello & World < > \" '";
String escaped = HtmlUtils.htmlEscape(unsafe);
// 输出:Hello &amp; World &lt; &gt; &quot; &#39;

2. 自定义转义工具类

若无法引入第三方库,可手动定义转义规则:

public class HtmlEscapeUtils {
    public static String escapeHtml(String input) {
        return input.replace("&", "&amp;")
                    .replace("<", "&lt;")
                    .replace(">", "&gt;")
                    .replace("\"", "&quot;")
                    .replace("'", "&#39;");
    }
}

// 使用示例
String unsafe = "User input: <script>alert(1)</script>";
String safe = HtmlEscapeUtils.escapeHtml(unsafe);
// 输出:User input: &lt;script&gt;alert(1)&lt;/script&gt;

3. 模板引擎自动转义

现代模板引擎默认开启自动转义,避免手动处理。

Thymeleaf

在Spring Boot中配置Thymeleaf:

html

<!-- 默认自动转义 -->
<p th:text="${userInput}"></p>
<!-- 若需禁用转义 -->
<p th:utext="${userInput}"></p>

FreeMarker

配置FreeMarker时启用自动转义:

Configuration cfg = new Configuration(Configuration.VERSION_2_3_31);
cfg.setOutputFormat(HTMLOutputFormat.INSTANCE); // 开启HTML自动转义

4. 针对不同场景的转义

根据上下文选择合适的转义方式:

URL参数转义

使用URLEncoder处理URL中的特殊字符:

String query = "name=John&Doe&age=20";
String encoded = URLEncoder.encode(query, StandardCharsets.UTF_8);
// 输出:name%3DJohn%26Doe%26age%3D20

JSON数据转义

使用JacksonGson库自动处理JSON中的特殊字符:

String input = "已转义内容:&lt;tag&gt;";
// 错误做法:二次转义会破坏内容
String badOutput = HtmlEscapeUtils.escapeHtml(input);
// 结果:已转义内容:&amp;lt;tag&amp;gt;

// 正确做法:识别是否已转义(需业务逻辑判断)

5. 防止重复转义

确保不重复转义已处理的内容:

String input = "已转义内容:&lt;tag&gt;";
// 错误做法:二次转义会破坏内容
String badOutput = HtmlEscapeUtils.escapeHtml(input);
// 结果:已转义内容:&amp;lt;tag&amp;gt;

// 正确做法:识别是否已转义(需业务逻辑判断)

6. 安全注意事项

  • XSS防护‌:在输出到HTML、XML或JavaScript时,必须转义用户输入。
  • 上下文敏感‌:
    • HTML内容‌:转义<, >, &, ", '
    • HTML属性‌:转义属性值中的引号。
    • JavaScript‌:使用\uXXXX格式转义特殊字符。

总结

场景推荐方案
Web应用HTML输出Thymeleaf/FreeMarker模板引擎
简单字符串处理Apache Commons Text或Spring工具类
手动处理自定义转义工具类
URL/JSON数据URLEncoder或JSON库

合理选择自动转义方案,可大幅降低代码漏洞风险,确保数据安全输出。

曹牧
关注
java_转换工具类
java之书-资源
04-26 179
转换工具类
java 转义和反转义工具类 java 转义和反转义工具类
11-29
java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类java 转义和反转义工具类 java 转义和反转义工具类
Java-类转换工具类
Jan的博客
08-22 4938
1.这是一个类直接转换的工具类,可适用于 对象转换 对象列表转换 属性拷贝, 当且仅当两个对象的非静态属性名称相同且对应的属性类型也相同时才进行属性值拷贝 将对象转换为散列表Object---Map 将list&lt;object&gt;转换为 List&lt;Map&lt;String, Object&gt;&gt; import j...
java html 转义工具类_利用StringEscapeUtils工具类对字符串进行各种转义与反转义Java)...
weixin_29210727的博客
02-24 1634
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提时引入对应的jar包,以下为它的部分...
java转义URL工具类
weixin_40695913的博客
07-03 453
Java 转义URL工具类的实现 一、整体流程 journey title Java 转义URL工具类的实现 section 告知流程 开始 --> 创建工具类 --> 实现URL转义功能 --> 编写测试代码 --> 结束二、具体步骤 步骤 操作 1 ...
Java 转义和反转义工具类
qq_44785726的博客
02-28 210
转义和反转义工具类
深度剖析Java转义字符:从基础到进阶应用
2301_76176635的博客
02-06 1121
本文深度剖析 Java 转义字符。开篇强调其在 Java 编程各场景,如处理字符串、文件路径等时的关键作用。接着阐述转义字符以反斜杠为起始,改变字符解析方式的原理,并详细介绍常见转义字符,像换行符、回车符等,同时补充八进制、十六进制字符转义形式。通过实际代码示例展示各转义字符的用法,以及它们在不同编程场景的应用。随后指出使用转义字符要遵循规则,避免错误。最后介绍字符编码表示特殊字符及第三方库增强转义安全性的拓展知识,助力开发者掌握转义字符,提升 Java 编程水平。
jea:Java转义分析
07-02
Java转义分析(JEA,Java Escape Analysis)是Java虚拟机(JVM)中的一个优化技术,用于提高程序性能。这个技术主要关注于对象的生命周期和内存管理,特别是如何减少垃圾收集的压力。JEA旨在识别那些不会离开局部...
java转义字符
diaolove的博客
01-13 5744
定义 所有的ASCII码都可以用"“加数字(一般是8进制数字)来表示. Java语言中定义了一些字母前加”"来表示特殊含义的字符, 如\0,\t,\n等, 称为转义字符(Escape Character). ① 斜线与反斜线 / 斜线(slash), 又称为forward slash (前斜线), 原本是标点符号. 起源于古罗马,中世纪时用作逗号(而当时的双斜线//是被当作连接号的,后来演化成等号=). Linux系统文件路径使用. \ 反斜线(backslash), Windows系统文件路径, 程序编码
浅谈Java转义符\\|
09-03
本文将深入探讨Java转义字符的使用,尤其是涉及正则表达式中使用的转义符。 首先,转义字符在Java中是通过反斜杠“\”来表示的。在处理字符串时,如果要表示一个特殊字符,比如双引号或单引号,就需要使用反斜杠来...
JAVA转义字符[文].pdf
10-11
Java编程语言中,转义字符是用于在字符串或字符字面量中表示特殊意义的字符。这些字符在源代码中以反斜线(\)开头,随后跟特定的序列,以便让编译器理解其真正的含义。以下是Java转义字符的详细解释: 1. **八...
Java中HTML转义与反转义工具类
12-20
Java 中 HTML 转义与反转义工具类 代码如下 import org.apache.commons.lang3.StringUtils; /** * 转义和反转义工具类 * */ public class EscapeUtil { private static final char[][] TEXT = new char[64][]; static { for (int i = 0; i < 64; i++) { TEXT[i] = new char[]{(char) i}; } // 单引号
java中常见的转义字符
05-19
java中常见的转义字符,收集的,很有用
Java工具类」Apache的StringEscapeUtils转义工具类
Java Farmer
11-17 9164
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
Java转义工具类StringEscapeUtils的学习笔记
热门推荐
weixin_45866849的博客
09-05 1万+
StringEscapeUtils的主要功能就是为JavaJava Script,Html,XML进行转义与反转义
Java转义字符工具类StringEscapeUtils.unescapeJava
weixin_38236028的博客
03-25 1万+
最近对接用友NC接口,发现通过阿里的fastjson创建的JSONObject对象转换成字符串后,再调用接口传递给NC会出现中文乱码现象,对方接收到的Json字符串中中文为????,经过测试后发现将json字符串中的转义字符去掉即可正常访问接口,但字符串的方法replaceAll并不能解决这个问题,查询后发现如下方法: 导入工具类: import org.apache.commons...
java 对字符串 转义工具
weixin_29315091的博客
08-16 469
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/f2PFnNJava 字符串转义工具实现指南 在Java开发中,我们经常需要处理字符串转义的问题,比如在构造JSON字符串时,某些字符(如引号、反斜杠等)必须被转义。这篇文章将为你逐步指导如何实现一个...
java字符串自动转义_java – 字符串参数通常会在Web服务中自动转义吗?
weixin_42153793的博客
02-28 1057
我今天发现,从客户端传递到服务器的字符串参数中的简单%会导致错误请求400.由于我对Web服务有基本知识,所以我不知道这是否是正常行为.我是否遗漏了某些东西(是我对逃避字符串的责任?)还是我应该在其他地方看看?客户代码:@WebMethod(operationName = "push", action = "urn:Push")public boolean push(String msg);服务器...
Java转义字符
aa1662915585的博客
10-26 248
Java常用的转义字符 \t :一个制表位,实现对齐的功能 \n :换行符 \ :一个\ \" :一个" \’ :一个’ \r :一个回车 public class ChangeChar{ public static void main(String[] args){ //\t :一个制表位,实现对齐的功能 System.out.println("北京\t上海\t湖南\t衡阳"); //\n :换行符 System.out.println("北京\n上海\n湖南\n衡阳
java 转义
最新发布
05-28
Java 编程语言中,转义字符用于表示一些具有特殊意义的字符(如换行符、制表符等),或者用于插入某些无法直接通过键盘输入的字符。转义字符以反斜杠 `\` 开头,后跟一个或多个字符,具体含义取决于后续字符[^3]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值