保护 <、> 和 & 是否足以清理 Swing 组件中的 HTML?
Is guarding <, >, and & enough to sanitize HTML in Swing components?
我有一个任意字符串。我想将 MyString 放入 HTML 文档中,例如
<html><body>Text bla <b>MyString</b> bla bla</body></html>
我不想让 MyString 使用标签进行任何 HTML 格式化,但我也不想使用 &charcode; 转义每个字符(这是我的后备计划)。
是否足以将 <、> 和 & 替换为 <、> 和 &(以及换行符 <br>)?如果不是,还有什么?
更多上下文:这是为了将用户提供的字符串以格式化的方式放入 JLabel 中,其中还包含其他文本(因此仅设置标签样式是不够的)。
正如@user2864740 在评论中所写:
See Rule #1 from the OWASP cheat-sheet link, which lists 6
characters to escape: &, <, >, ", ', /. Whether or not such are
required (in all contexts).
对我来说,转义这些字符似乎就足够了。
我有一个任意字符串。我想将 MyString 放入 HTML 文档中,例如
<html><body>Text bla <b>MyString</b> bla bla</body></html>
我不想让 MyString 使用标签进行任何 HTML 格式化,但我也不想使用 &charcode; 转义每个字符(这是我的后备计划)。
是否足以将 <、> 和 & 替换为 <、> 和 &(以及换行符 <br>)?如果不是,还有什么?
更多上下文:这是为了将用户提供的字符串以格式化的方式放入 JLabel 中,其中还包含其他文本(因此仅设置标签样式是不够的)。
正如@user2864740 在评论中所写:
See Rule #1 from the OWASP cheat-sheet link, which lists 6 characters to escape: &, <, >, ", ', /. Whether or not such are required (in all contexts).
对我来说,转义这些字符似乎就足够了。