java apache commons

Java apache commons StringEscapeUtils サンプルプログラム


StringEscapeUtilsの説明(google翻訳)

Java、Java Script、HTML、およびXMLの文字列をエスケープし、エネッセイを解除します。

文字列をエスケープ処理してくれます。
思ったように動いてくれないような、動いてくれるような。
CSV, HTMLに関しては利用しやすいと思います。実際エスケープ処理を書くと面倒ですから、こういうユーティリティーがあると便利です。

StringEscapeUtils

package jp.pjin.tech.java;

import java.util.Arrays;
import java.util.List;

import org.apache.commons.lang3.StringEscapeUtils;

public class CommonsExample9 {
	public static void main(String[] args) throws Exception {
		List<String> arr = Arrays.asList(
			StringEscapeUtils.escapeCsv("a\",b[\\b,'\""),
			StringEscapeUtils.escapeEcmaScript("<script>alert('XSS');</script>"),
			StringEscapeUtils.escapeJava("\"java's\"Hello!t#$%&'"),
			StringEscapeUtils.escapeJson("{response:{text:'He didn't say, \"Stop!\"',body:{el:$('.responseXHR'),html:'<div class=\"message\"'>success</div>'}}}"),
			StringEscapeUtils.escapeXml10("<script>alert('XSS');</script>"),
			StringEscapeUtils.escapeXml11("<script>alert('XSS');</script>"),
			StringEscapeUtils.escapeHtml4("<script>alert('XSS');</script>")
		);
		arr.forEach(str -> System.out.println(str));
	}
}

適当な文字列を入れてみました。実行すると思うようにエスケープするものとしないものがあるような、ないような。
Csvに関しては、自前で出力するプログラムは作る気がしないので、利用するか?と問われるとなんとも。
HTMLに関してはテンプレートエンジン任せになっているところもあり、使わないかもしれません。

  • このエントリーをはてなブックマークに追加

PAGE TOP