比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,保存后终存储的会是:&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。
  其它
  下面提供两种Html encode的方法。
  使用Apache的commons-lang.jar
  StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码,空格不转换
  自己实现转换,只转换部分字符
private static String htmlEncode(char c) {
switch(c) {
case '&':
return"&amp;";
case '<':
return"&lt;";
case '>':
return"&gt;";
case '"':
return"&quot;";
case ' ':
return"&nbsp;";
default:
return c +"";
}
}
/** 对传入的字符串str进行Html encode转换 */
public static String htmlEncode(String str) {
if(str ==null || str.trim().equals(""))   return str;
StringBuilder encodeStrBuilder = new StringBuilder();
for (int i = 0, len = str.length(); i < len; i++) {
encodeStrBuilder.append(htmlEncode(str.charAt(i)));
}
return encodeStrBuilder.toString();
}