Spring中html字符编解码

最新推荐文章于 2025-06-10 15:58:28 发布
原创 最新推荐文章于 2025-06-10 15:58:28 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #编码

在Spring MVC中,当表单提交HTML代码时,Spring会自动将其转义。文章介绍了这一行为的原因,以及如何通过StringEscapeUtils或HtmlUtils进行解码,以保存原始的HTML内容到数据库。此外,还分享了常见HTML转义字符的转换表,并讨论了在处理用户输入时的安全考虑。尽管尝试了Spring的表单转义配置,但未能阻止自动转义,作者对此感到疑惑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring中html字符编解码

场景描述

  今天基于 jeesite 在做一个简单的curd的功能时,遇到个比较有意思的问题,在此记录一下,在使用springMVC form标签作双向绑定时,如果文本域中填写的为html代码,提交到后端会自动进行转义,如下:

1

<form:textarea path="content" id="content" style="width:600px;height:300px;"/>

提交后,在后端接收到的content自动会将<,> &等符号自动转义成 \<,\>,\&等字符,导致落地到数据库时的内容已经是转义后的内容了。

原因分析

  一开始比较疑惑,为什么会转义呢? 在Controller中看到的对象中的属性绑定的值确实是已经转义的。检查代码时,没有发现有手动转义的地方,在检查父级代码时,至看到BaseController此方法,才得以解惑。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


/**
 * 初始化数据绑定
 * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击
 * 2. 将字段中Date类型转换为String类型
 */
@InitBinder
protected void initBinder(WebDataBinder binder) {
	// String类型转换,将所有传递进来的String进行HTML编码,防止XSS攻击
	binder.registerCustomEditor(String.class, new PropertyEditorSupport() {
		@Override
		public void setAsText(String text) {
			setValue(text == null ? null : StringEscapeUtils.escapeHtml4(text.trim()));
		}
		@Override
		public String getAsText() {
			Object value = getValue();
			return value != null ? value.toString() : "";
		}
	});
	// Date 类型转换
	binder.registerCustomEditor(Date.class, new PropertyEditorSupport() {
		@Override
		public void setAsText(String text) {
			setValue(DateUtils.parseDate(text));
		}
	});
}

我们来看看:

1

StringEscapeUtils.escapeHtml4()

该方法是org.apache.commons.lang3包,主要是用于html转义,那么,既然在这里转义了,我们保存在数据库时,可以进行恢复成转义前的状态即可解决该问题。
注意: *(作者的业务要求是需要使用标准的html内容,如果你的业务需要将该html内容显示到前端,建议直接保存转义后的内容)

处理办法

  找到原因后,我们需要将已经转义的html代码,还原回来,依旧可以使用StringEscapeUtils类中提供的方法

1

StringEscapeUtils.unescapeHtml4(html);

可以使用上述方法进行恢复。
注意: 在新版的common-lang.jar中,该方法已经为过时。个人建议切勿过度依赖,或者替换成spring中的HtmlUtils方法。

HtmlUtils

在spring中找到一个功能相同的工具类,HtmlUtils,也提供十进制,十六进制的转义方法,使用方法如下所示:
在HtmlUtils类中,一共提供了4类方法:
1.转换为十进制

1
2
3
4

public void testEsapeDecimal(){
    String result = HtmlUtils.htmlEscapeDecimal("\"<html lang=\\\"en\\\"><head><title>标题</title></head><body>内容</body></html>\";");
    System.out.println(result);
}

转换结果:

1

&#34;&#60;html lang=\&#34;en\&#34;&#62;&#60;head&#62;&#60;title&#62;标题&#60;/title&#62;&#60;/head&#62;&#60;body&#62;内容&#60;/body&#62;&#60;/html&#62;&#34;
  1. 转换为十六进制 
    1
2
3
4
5

    @Test
  public void testEsacpeHex(){
      String result = HtmlUtils.htmlEscapeHex("\"<html lang=\\\"en\\\"><head><title>标题</title></head><body>内容</body></html>\";");
      System.out.println(result);
  }

转换结果:

1

&#x22;&#x3c;html lang=\&#x22;en\&#x22;&#x3e;&#x3c;head&#x3e;&#x3c;title&#x3e;标题&#x3c;/title&#x3e;&#x3c;/head&#x3e;&#x3c;body&#x3e;内容&#x3c;/body&#x3e;&#x3c;/html&#x3e;&#x22;;

  1. 转义 
    1
2
3
4
5

    @Test
 public void testEscape(){
     String result = HtmlUtils.htmlEscape("<html lang=\"en\"><head><title>标题</title></head><body>内容</body></html>");
     System.out.println(result);
 }

转换为:

1

&lt;html lang=&quot;en&quot;&gt;&lt;head&gt;&lt;title&gt;标题&lt;/title&gt;&lt;/head&gt;&lt;body&gt;内容&lt;/body&gt;&lt;/html&gt;

  1. 解码,该方法参数无论是十进制,十六进制,转义后的code,均可以用该方法进行解码 
    1
2
3
4
5
6
7
8

    /**
 * 解码
 *
@Test
public void testUnEscape(){
    String result = HtmlUtils.htmlUnescape("&#60;html lang=&#34;en&#34;&#62;&#60;head&#62;&#60;title&#62;标题&#60;/title&#62;&#60;/head&#62;&#60;body&#62;内容&#60;/body&#62;&#60;/html&#62;");
    System.out.println(result);
}

解码后:

1

<html lang="en"><head><title>标题</title></head><body>内容</body></html>
常见编码

以下为常见符号的转换表,包括符号,十进制,十六进制,转义字符的转换:
符号|十进制|十六进 |转义字符
—|—|—|—|
“|\"|\"|\"|
>|\>|\>|\>|
<|\<|\<|\<|
&|\&|\&|\&|
‘|\'|\'|\'|
由于对表格支持不太友好,效果如下图所示:
图片

小结:

  现在想想该问题,我们在日常的编码过程中,不仅仅是以功能实现为标准,更要注重该功能的安全性,像评论区,输入框在使用过程中,应该考虑到将特殊字符转义。编码时的多思考就能够把问题在萌芽阶段就处理掉。

参考链接:

https://stackoverflow.com/questions/1265282/recommended-method-for-escaping-html-in-java
https://docs.spring.io/spring/docs/4.2.9.RELEASE/spring-framework-reference/

疑惑:

  查看spring文档时,文档中详细的说明了在使用spring form标签时,有提供不同的方法来指定页面,表单,甚至输入框是否需要转义,

1
2
3
4
5
6
7
8
9
10
11

//1. 设置单个输入框的,(表单输入框中)
<form:input path="username" htmlEscape="true"/>

//2. 设置页面是否转义,会覆盖web.xml文件中配置的,(jsp页面中)
<spring:htmlEscape defaultHtmlEscape="true" /> 

//3. 设置全局的,(web.xml中)
<context-param>  
   <param-name>defaultHtmlEscape</param-name>  
   <param-value>true</param-value>  
</context-param>

配置好后,在controller中接收到的html内容依旧没有被转义。也就是说,该属性设置与不设置的效果是一样的。一直没有找到原因是什么. 持续疑惑中….. 如果有知道问题的小伙伴,烦请告知原因。

这里写图片描述

扫码关注,一起进步

个人博客:  http://www.andyqian.com
Spring Framework 7.032.数据缓冲区编解码
08-06 15
Spring Framework提供了基于DataBuffer的编解码器(Codec)体系,支持多种数据格式的转换。核心包括Encoder(对象→DataBuffer)和Decoder(DataBuffer→对象)接口,广泛应用于WebFlux等反应式场景。内置编解码器覆盖字符串、JSON(Jackson)、XML(JAXB/Jackson)、表单数据等常见格式,支持通过构造函数或setter方法配置字符集、ObjectMapper等参数。开发者也可实现自定义编解码器,需注意使用DataBufferUtil
一篇文章带你入门 SpringSecurity实现密码加密和解码
热门推荐
南淮北安的博客
09-26 1万+
文章目录一、加密和解密1. 为什么要加密2. 加密方案3. PasswordEncoder二、前期准备二、用户配置1. 配置文件2. 配置类 一、加密和解密 1. 为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 优快云 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 优快云 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山
Spring.html
03-23
Spring IOC 控制反转:把创建对象的权利交给Spring 创建对象 1.无参构造<bean class=""> 2.静态工厂<bean class="" factory-method=""> 3.实例工厂 <bean bean-factory="" factory-method=""> 管理对象 对象关系DI 构造器注入<construct-arg> set注入<property> 生命周期 scope:prototype/singleton init-method destroy-method API BeanFactory:使用这个工厂创建对象的方式都是懒加载,在调用的时候再创建 ClassPathXmlApplicationContext:使用这个工厂创建对象,他会根据scope智能判断是否懒加载,如果是单例则创建容器时就会创建里面bean的实例,如果是多例在获取使用时才会创建bean实例 FileSystemXmlApplicationContext磁盘路径 AnnotationConfigApplicationContext注解 WebApplicationContext:web环境使用的容器 注解 创建对象 Component:不分层的注解 Controller:web层 Service:service层 Repository:dao层 管理对象 注入 AutoWired Qualifier Resource Value 声明周期 Scope PostConstruct PreDestroy 新注解 Bean:写方法上,将方法的返回值 Configuration:标记配置类 ComponentScan包扫描 PropertySource:加载配置文件 Import:导入其他配置类 AOP 概念:面向切面编程,在不改变源码的情况下对方法进行增强,抽取横切关注点(日志处理,事务管理,安全检查,性能测试等等),使用AOP进行增强,使程序员只需要关注与业务逻辑编写. 专业术语 目标Target:需要增强的类 连接点JoinPoint:目标中可被增强的方法 切入点PointCut:被增强的方法 增强Advice:增强代码 切面Aspect:切点加通知 织入weaving:讲切面加载进内存形成代理对象的过程 代理Proxy 底层实现 JDK动态代理(默认) 基于接口:代理对象与目标对象是兄弟关系,目标类必须实现接口 CGLIB动态代理 基于父类:代理对象与目标对象是父子关系.目标不能被final修饰 修改默认代理方法:<aop:aspectj-autoproxy proxy-target-class="true"/> 增强种类 前置通知 后置通知 异常通知 最终通知 环绕通知 注意:使用注解的方式,最终通知和后置通知顺序换了,建议使用环绕通知 注解 配置 声明式事务管理 PlatFormTransactionManager:平台事务管理器:定义了commit/rollback Mybatis/jdbc:DataSourceTransactionManager Hibernater:HibernaterTransactionManager TransactionManagerDifinition 传播行为:A-->B,在B上声明是否一定需要事务管理 requerd:必须的(默认),如果A有事务那么就加入A的事务,如果A没有事务那么单独创建一个事务 supports,如果A有事务则加入,如果没有就算了 隔离级别 default:使用数据库默认的隔离级别(mysql:可重复读,oracle:读已提交) readuncommited:读未提交,不可以解决任何问题 readcommited:读已提交,可以解决脏读问题 repeatableRead:可重复读,可以解决脏读,不可重复读问题 Serializbler:串行化,可以解决所有问题 超时时间: 默认-1(永不超时),事务一直不提交也不回滚的时间 是否只读: 默认false TransactionManagerStatus: 事务的一些状态 整合 Spring整合Junit 1.导入依赖spring-test 2.加注解:RunWith、ContextConfiguration 3.注入对象进行测试 Spring整合web 1.导入依赖spring-web 2.配置ContextLoadListener 3.配置 <!--全局初始化参数--> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:applicationContext.xml</param-value> </context-param> 4.在Servlet中使用WebApplicationContextUtils获取容器对象 5.使用容器对象去获取Service对象
SpringMVC controller 所有接收的参数,进行String进行HTML编码
zhanzhenguang的博客
04-23 2060
@ControllerAdvicepublic class BaseControllerAdvice {        @InitBinder        protected void initBinder(WebDataBinder webDatabinder) { //controller 所有接收的参数,进行String进行HTML编码,防止XSS攻击 binder.registerC...
全面掌握HTML特殊字符编码
最新发布
weixin_42627459的博客
06-10 1107
在创建和维护Web页面时,HTML特殊字符编码是确保内容正确显示的关键因素。这些特殊字符编码,也称为字符引用,允许开发者在HTML文档中插入那些通常有特殊意义或无法直接键入的字符。本章将探索特殊字符编码的定义、必要性以及它们在Web开发中的基本作用。HTML特殊字符编码指的是将某些在HTML中有特殊意义的字符,通过特定的编码方式,转换成HTML可以识别的字符实体。例如,小于号和大于号分别用于标记HTML标签的开始和结束。
利用Spring中的HtmlUtils.htmlEscape(input)过滤html
afei2530的博客
01-29 4281
fatherModule.setModuelName(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(fatherModule); ...
spring html页面,spring只是呈现一个html页面
weixin_31497453的博客
06-08 429
问题:使用Spring 4,我在访问网页时得到了这个Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback.Fri Aug 15 16:41:29 BST 2014There was an unexpected error (type...
java html解码_Java的HTMLDecoder,将HTML特殊字符解码还原
weixin_42356315的博客
02-12 655
package com.laozizhu.search.util;import java.util.HashMap;/*** 替换HTMl里面的字符 e.g.: < > " å И 水** @author 老紫竹(laozizhu.com)*/public class HTMLDecoder {public static final HashMap charTable;public s...
Spring MVC 关于controller的字符编码问题
10-20
在处理这些参数时,Spring MVC会自动进行编码和解码,但需要注意的是,如果你在请求体中使用非英文字符,确保客户端和服务器都使用一致的字符集,否则仍然可能出现编码问题。 总结来说,Spring MVC中处理Controller...
netty 系列之:netty 中常用的字符编码解码器
m0_67698950的博客
04-21 1443
简介 字符串是我们程序中最常用到的消息格式,也是最简单的消息格式,但是正因为字符串 string 太过简单,不能附加更多的信息,所以在 netty 中选择的是使用 byteBuf 作为最底层的消息传递载体。 虽然底层使用的 ByteBuf,但是对于程序员来说,还是希望能够使用这种最简单的字符串格式,那么有什么简单的方法吗? 以下Java面试题是今年最新的,需要的小伙伴可以后台撩我拿 关键词 “免费”? 即可! netty 中的字符编码解码器 为了解决在 netty 的 chann..
spring mvc+localResizeIMG实现HTML5端图片压缩上传
08-30
HTML中的`<input type="file">`元素上添加`onchange`事件,以便在选择图片后触发文件压缩。例如: ```html ;" onchange="fileChange(this)"> ``` 3. **文件压缩和上传**: 编写`fileChange`函数,该函数负责...
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
Spring MVC下彻底解决@ResponseBody转义html特殊字符问题,解决包括尖角号(),单引号('),双引号("),按位与(&),反斜杠(\)。
html spring mvc,Spring MVC和HTML 5
weixin_31478029的博客
06-29 139
我有一个用SpringMVC 应用和我使用春天标签,但是我一直在寻找在应用中拍照与摄像头,我发现JQuery webcam plugin的解决方案。Spring MVC和HTML 5问题是这是使用元素/标签和Spring Taglib没有这个标签的定义。我怎么能过来呢?我需要使用标签,如弹簧标签,或者是否有弹簧标签替代品。下的一个例子,说明我的代码功能:代码$(document).ready(fu...
springmvc框架下使用html页面
qq_45048713的博客
03-05 5094
1. 在springmvc框架下使用html页面 不经过Controller直接访问: a) 直接将html页面放置在当前项目根目录下,并配置 <mvc:default-servlet-handler /> 来访问 b) 将html页面放置在WEB-INF目录,通过配置 <mvc:resources location="/WEB-INF/html/" mapping...
SpringMVC 直接处理.html/.htm 文件
yfgsqgq的专栏
11-15 8229
SpringMVC 直接处理.html/.htm 文件今天处理一个 ssm框架,没有用.jsp视图而是直接用.html视图文件。服务器启动什么一切正常,没有任何错误信息。但就是最后返回视图的时候总是找不到资源。 经过努力,发现原来在springmvc中,如果配置/拦截所有的请求,那么在返回视图的.html url中一样会被拦截,但此时dispatcheservlet 拦截器是不能处理该.html
spring 转义html,spring html特殊字符操作
weixin_35857225的博客
06-18 1100
import org.springframework.web.util.HtmlUtils;/*** html特殊字符操作* @param answer 操作default=转换为HTML转义字符表示;no=转换为数据转义表示;16转换为十六进制数据转义表示;否则为反向操作* @param content要转换的内容* @return*/public static String htmlOptio...
spring model html页面,使用Spring提供静态页面和REST服务
weixin_42564147的博客
06-04 223
我开发了一个Spring应用程序,它提供Spring MVC REST服务.现在我想将Angularjs实现到Spring应用程序的webapp目录中.问题是我不知道如何正确配置它.我想要实现的目标:> / api / … =通过Spring MVC提供REST服务的URL,例如localhost:8080 / api / user / 1> / … =包含静态html页面的URL,例...
springMVC 下访问html页面
hukang00的专栏
10-13 4311
本人在网上找了好久,所找到的答案
Spring MVC 基于HTML 教程 (二)
笨笨熊咦
04-03 1205
通过IDEA 搭建Springmvc 整合HTML,实现前后端数据的传输,本文章主要对Springmvc 的进一步学习。 一 、新建Maven项目 1. 打开idea ,点击File ,选择new ,点击Project 。如下图: 2. 选择 Maven , 勾选 Create from archetype ,选择 mavenarchetype webapp ,点击Next。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值