为了最小化我的应用程序的XSS漏洞,并且由于根本没有用户输入,我正在执行HTML-Entity转出我的输出,如下所示,但是我的html断开并且什么也没显示,如果我替换为<脚本>整个代码按原样出现在输出中。
document.getElementById(“dis”)。innerHTML =“JAVA”; document.getElementById(& quot; dis& quot;)。innerHTML =& quot; JAVA& quot ;;
如果这不是正确的方法,请建议使用以下公共方法进行HTML转义的步骤,以最大限度地减少XSS漏洞。
public static String escapeHtml(CharSequence text)