问题描述:
项目开发一个功能,可以在线浏览文件内容,当浏览html文件时,出现了标签注入问题,代开html文件看不到内容,直接编译成html页面了。
问题原因:
html中的标签注入,需要对html中标签进行转义;
问题解决:
在后台获取文件内容后,使用java的HTMLUtils工具类,将文件内容进行转义;
//如果是html文件,需要将内容进行转义,防止html标签注入
if (path.endsWith(".html")) {
content = HtmlUtils.htmlEscape(content);
}这样在线浏览就不会出现html标签注入问题了。