Автозамена на спецсимволы

Решил вопрос следующим образом: Полученные сообщения вывожу с помощью <tag th:utext="${myvar}"></tag>, так как th:utext не экранирует теги на выходе. А перед записью в базе я проверяю само сообщение небольшой самодельной защитой:

private String xssSecurity(String message) { char[] chars = message.toCharArray(); boolean closeTag = false; for (int i = 0, j; i < chars.length; i++) { char c = chars[i]; if (chars[i] == '<') { System.out.println(chars.length); for (j = i; j < chars.length; j++) { char h = chars[j]; if (chars[j] == ' ' || chars[j] == '>') { String tag = message.substring(i + 1, j); System.out.println(tag); if (tag.matches("/?b") || tag.matches("/?font") || tag.matches("/?i")) { closeTag = true; break; } else { chars[i] = '•'; break; } } } } if (chars[i] == '>') { if (!closeAccept) { chars[i] = '·'; } else { closeTag = false; } } } return new String(chars).replaceAll("·", "&gt;").replaceAll("•", "&lt;"); }

В итоге я получаю сообщение со всеми экранированными тегами, кроме разрешенных(в моём случае это b, i и font).