我有一个任意字符串。我想把MyString放在一个HTML文档中,比如
<html><body>Text bla <b>MyString</b> bla bla</body></html>
我不想允许MyString使用标签进行任何HTML格式化,但我也不想使用&charcode;转义每个字符(这是我的后备计划(。
用<、>和&替换<、>和&(用<br>换行(就足够了吗?如果没有,还有什么?
更多上下文:这是用于将用户提供的字符串以格式化方式放入 JLabel,其中还包含其他文本(因此仅设置标签样式是不够的(。
正如@user2864740在评论中所写:
请参阅 OWASP 备忘单链接中的规则 #1,其中列出了 6 要转义的字符:&、<、>、"、"'、/。无论这些是否 必需(在所有上下文中(。
就我而言,逃离这些角色似乎已经足够了。