Html實體在Web應用程序中的編碼

Question

Iam尋找所有寶貴的建議，以避免通過Web應用程序中的表單數據獲得易用性。 需要對哪些字符進行編碼以避免這種注入攻擊作爲html實體編碼的一部分？將哪些字符插入到我們的表單數據中將容易發生HTML注入？
截至目前，我們正在vaidating \」，/，\，：，*，<，>，|，;，％，＃，〜從用戶輸入字符到我們的網頁的表單輸入字段application.Also我們已經實施了編碼方法以將{「<」，「>」，「\'」，「&」}編碼爲{「<」，「"」，「>」，「&」}，輸入到我們的申請表格fields.Does它需要提升出的編碼方法，以任何其它字符擺脫任何vulnerbility情況？ 請您寶貴的建議更新我儘快。 感謝&問候， Sureshbabu

Answer 1

基本上它是足夠逃脫<> &「到其相應的HTML實體，但還有包括一些字符模式，使得瀏覽器切換到另一種編碼，其中攻擊者已編碼的攻擊字符串一些複雜的攻擊。

因爲它是複雜的，有一些庫，都在不斷更新，以做好這項工作的最好的方式，其中之一是HTML Purifier（對於PHP）。

Answer 2

嘗試阿帕奇百科全書 - 郎鹹平： http://commons.apache.org/lang/api-release/index.html

的Class StringEscapeUtils提供您的問題的方法。 http://commons.apache.org/lang/api-release/org/apache/commons/lang/StringEscapeUtils.html