HTML-кодировка сущности в веб-приложении

Question

Я ищу все ваши ценные предложения, чтобы избежать уязвимости через данные формы в веб-приложении.Какие символы должны быть закодированы, чтобы избежать таких атак внедрения, как часть кодирования сущности html?, *,?, <,>, |,;,%, #, ~ символы из пользовательского ввода в поля ввода формы нашего веб-приложения. Также мы реализовали методологию кодирования для кодирования {"<", ">", "\ '"," & "} to {" <"," "", ">", "&"}, где бы мы ни разрешали эти символы из пользовательского ввода в поля формы нашего приложения. Требуется ли усовершенствовать методологию кодирования, чтобылюбые другие символы, чтобы избавиться от любой уязвимости ситуации?Пожалуйста, сообщите мне ваши ценные предложения как можно скорее.Спасибо и привет, Сурешбабу

Answer 1

Попробуйте Apache Commons - Lang: http://commons.apache.org/lang/api-release/index.html

Класс StringEscapeUtils предоставляет метод для вашей Задачи. http://commons.apache.org/lang/api-release/org/apache/commons/lang/StringEscapeUtils.html

Answer 2

В основном достаточно экранировать <> & "для соответствующих им html-сущностей, но есть некоторые сложные атаки, которые включают в себя некоторые шаблоны символов, которые заставляют браузер переключаться на другую кодировку, в которой злоумышленник закодировал строку атаки.

Поскольку это сложно, есть некоторые библиотеки, которые постоянно обновляются, чтобы сделать эту работу наилучшим из возможных способов, одна из них - Очиститель HTML (для php).