Как правильно кодировать параметры запроса. Я передаю данные через Anti Samy, который выполняет очистку. Вслед за этим мне нужно передать очищенный метод unescapeHtml4. Потому что иногда у меня есть Json как мой параметр запроса (см. Пример 1 ниже).Как обрабатывать как санкции Json, так и HTML из параметров запроса?
В настоящее время мой код выглядит следующим образом:
String str = StringEscapeUtils.unescapeXml(xml);
ClearResult cr = antiSamy.scan(str);
String cleanStr = cr.getCleanHTML();
String s = StringEscapeUtils.unescapeHtml4(cleanStr);
Пример 1: Json как запрос:
если удалить номер строки 4, я в конечном итоге получить {& Quot имя & Quot: & Quot Mav & Quot}
Пример 2: Escaped результат следующий сценарий: < script> alert ("hi") < script>
Если я сохраню номер строки 4, я уязвим для XSS.
Как решить эту проблему? Я хочу обрабатывать параметры запроса JSON и HTML. Любая помощь будет оценена по достоинству.