জাভাতে এইচটিএমএল এড়িয়ে চলার জন্য প্রস্তাবিত পদ্ধতি

সেখানে পালিয়ে যেতে একটি প্রস্তাবিত উপায় আছে কি <, >, "এবং &প্লেইন জাভা কোড অক্ষর যখন আউটপুট এইচটিএমএল? (ম্যানুয়ালি নিম্নলিখিতগুলি করা ব্যতীত অন্যটি)।

String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = source.replace("<", "&lt;").replace("&", "&amp;"); // ...

অ্যাপাচি কমন্স ল্যাং থেকে স্ট্রিংস্পট ইউটেলস :

import static org.apache.commons.lang.StringEscapeUtils.escapeHtml;
// ...
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = escapeHtml(source);

জন্য সংস্করণ 3 :

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;
// ...
String escaped = escapeHtml4(source);

ব্যবহার করুন: অ্যাপাচি কমন্স একটি বিকল্প স্প্রিং এর HtmlUtils.htmlEscape(String input)পদ্ধতি।

দুর্দান্ত সংক্ষিপ্ত পদ্ধতি:

public static String escapeHTML(String s) {
    StringBuilder out = new StringBuilder(Math.max(16, s.length()));
    for (int i = 0; i < s.length(); i++) {
        char c = s.charAt(i);
        if (c > 127 || c == '"' || c == '\'' || c == '<' || c == '>' || c == '&') {
            out.append("&#");
            out.append((int) c);
            out.append(';');
        } else {
            out.append(c);
        }
    }
    return out.toString();
}

Https://stackoverflow.com/a/8838023/1199155 (অ্যাম্প সেখানে অনুপস্থিত) এর উপর ভিত্তি করে । Http://www.w3.org/TR/html4/sgml/entities.html অনুসারে, যদি ক্লজটিতে যাচাই করা চারটি অক্ষর কেবল 128 এর নীচে থাকে

অ্যাপাচি কমন্স ল্যাং লাইব্রেরির একটি নতুন সংস্করণ রয়েছে এবং এটিতে একটি পৃথক প্যাকেজ নাম ব্যবহার করা হয় (org.apache.commons.lang3)। StringEscapeUtilsএখন নথি বিভিন্ন ধরনের পলায়নের জন্য বিভিন্ন স্ট্যাটিক পদ্ধতি আছে ( http://commons.apache.org/proper/commons-lang/javadocs/api-3.0/index.html )। সুতরাং এইচটিএমএল সংস্করণ 4.0 স্ট্রিং এড়াতে:

import static org.apache.commons.lang3.StringEscapeUtils.escapeHtml4;

String output = escapeHtml4("The less than sign (<) and ampersand (&) must be escaped before using them in HTML");

যারা গুগু পেয়ারা ব্যবহার করেন তাদের জন্য:

import com.google.common.html.HtmlEscapers;
[...]
String source = "The less than sign (<) and ampersand (&) must be escaped before using them in HTML";
String escaped = HtmlEscapers.htmlEscaper().escape(source);

অ্যান্ড্রয়েডে (এপিআই 16 বা ততোধিক) আপনি করতে পারেন:

Html.escapeHtml(textToScape);

বা নিম্ন API এর জন্য:

TextUtils.htmlEncode(textToScape);

এই বিষয়ে সতর্কতা অবলম্বন করুন। এইচটিএমএল ডকুমেন্টের মধ্যে বিভিন্ন 'প্রসঙ্গ' রয়েছে: একটি উপাদানটির অভ্যন্তরে, উদ্ধৃত বৈশিষ্ট্য মান, অব্যক্ত বৈশিষ্ট্য মান, ইউআরএল বৈশিষ্ট্য, জাভাস্ক্রিপ্ট, সিএসএস ইত্যাদি ... আপনার প্রতিটি জন্য আলাদা এনকোডিং পদ্ধতি ব্যবহার করতে হবে ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) রোধ করতে এগুলি। পরীক্ষা করে দেখুন OWASP পদ্ধতি এটা XSS প্রতিরোধ চিট শিট এই প্রেক্ষিতে প্রতিটি বিস্তারিত। OWASP ESAPI গ্রন্থাগার - এই https://github.com/ESAPI/esapi-java-legacy - এ এই প্রসঙ্গে প্রতিটি প্রবন্ধের জন্য আপনি পালানোর পদ্ধতিগুলি খুঁজে পেতে পারেন ।

কিছু উদ্দেশ্যে, এইচটিএমএল ইউটিস :

import org.springframework.web.util.HtmlUtils;
[...]
HtmlUtils.htmlEscapeDecimal("&"); //gives &
HtmlUtils.htmlEscape("&"); //gives &

যদিও @ ডিএফএর উত্তরটি দুর্দান্ত org.apache.commons.lang.StringEscapeUtils.escapeHtmlএবং আমি অতীতে এটি ব্যবহার করেছি এটি HTML (বা এক্সএমএল) বৈশিষ্ট্যগুলি পালানোর জন্য ব্যবহার করা উচিত নয় অন্যথায় স্বাভাবিক করা হবে (অর্থাত্ সমস্ত সংলগ্ন সাদা জায়গার অক্ষর একক স্থান হয়ে যায়)।

আমি এটি জানি কারণ আমার লাইব্রেরির (জেএটিএল) বিরুদ্ধে এমন বৈশিষ্ট্যের জন্য বাগ দায়ের করেছি যেখানে শ্বেত স্থান সংরক্ষণ করা হয়নি। সুতরাং আমার কাছে (কপি এন 'পেস্ট) শ্রেণিতে একটি ড্রপ রয়েছে ( যার মধ্যে আমি জেডিএম থেকে কিছু চুরি করেছি) যা বৈশিষ্ট্য এবং উপাদান সামগ্রীর অবতরণকে পৃথক করে ।

যদিও এটি অতীতে অতটা মেটাতে পারে নি (যথাযথ বৈশিষ্ট্য থেকে পালানো) এটি HTML5 এর data-বৈশিষ্ট্য ব্যবহারের ফলে ক্রমবর্ধমান বৃহত্তর হয়ে উঠছে ।

org.apache.commons.lang3.StringEcreenUtils এখন হ্রাস করা হয়েছে। আপনাকে এখন org.apache.commons.text.StringEcreenUtils ব্যবহার করতে হবে

    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-text</artifactId>
        <version>${commons.text.version}</version>
    </dependency>

সর্বাধিক গ্রন্থাগারগুলি শত শত প্রতীক এবং হাজার হাজার নন-এএসসিআইআই অক্ষর সহ তারা যা কিছু পারে তা পালানোর অফার দেয় যা ইউটিএফ -8 বিশ্বে আপনি যা চান তা নয়।

এছাড়াও, জেফ উইলিয়ামস যেমন উল্লেখ করেছেন, কোনও "এস্কেপ এইচটিএমএল" বিকল্প নেই, সেখানে অনেকগুলি প্রসঙ্গ রয়েছে।

ধরে নিই যে আপনি কখনই অব্যক্ত বৈশিষ্ট্য ব্যবহার করবেন না এবং বিভিন্ন প্রসঙ্গে উপস্থিত রয়েছে তা মনে রেখে এটি আমার নিজস্ব সংস্করণ লিখেছিল:

private static final long BODY_ESCAPE =
        1L << '&' | 1L << '<' | 1L << '>';
private static final long DOUBLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '<' | 1L << '>';
private static final long SINGLE_QUOTED_ATTR_ESCAPE =
        1L << '"' | 1L << '&' | 1L << '\'' | 1L << '<' | 1L << '>';

// 'quot' and 'apos' are 1 char longer than '#34' and '#39' which I've decided to use
private static final String REPLACEMENTS = "&#34;&amp;&#39;&lt;&gt;";
private static final int REPL_SLICES = /*  |0,   5,   10,  15, 19, 23*/
        5<<5 | 10<<10 | 15<<15 | 19<<20 | 23<<25;
// These 5-bit numbers packed into a single int
// are indices within REPLACEMENTS which is a 'flat' String[]

private static void appendEscaped(
        StringBuilder builder,
        CharSequence content,
        long escapes // pass BODY_ESCAPE or *_QUOTED_ATTR_ESCAPE here
) {
    int startIdx = 0, len = content.length();
    for (int i = 0; i < len; i++) {
        char c = content.charAt(i);
        long one;
        if (((c & 63) == c) && ((one = 1L << c) & escapes) != 0) {
        // -^^^^^^^^^^^^^^^   -^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
        // |                  | take only dangerous characters
        // | java shifts longs by 6 least significant bits,
        // | e. g. << 0b110111111 is same as >> 0b111111.
        // | Filter out bigger characters

            int index = Long.bitCount(SINGLE_QUOTED_ATTR_ESCAPE & (one - 1));
            builder.append(content, startIdx, i /* exclusive */)
                    .append(REPLACEMENTS,
                            REPL_SLICES >>> 5*index & 31,
                            REPL_SLICES >>> 5*(index+1) & 31);
            startIdx = i + 1;
        }
    }
    builder.append(content, startIdx, len);
}

লাইন দৈর্ঘ্যের সীমা ছাড়াই জিস্ট থেকে অনুলিপি-পেস্টিং বিবেচনা করুন ।