Jeff realmente postou sobre isso emLimpar o HTML. Mas o exemplo dele é em C # e estou realmente mais interessado em uma versão Java. Alguém tem uma versão melhor para Java? O exemplo dele é bom o suficiente para converter diretamente de C # para Java?

[Atualização] Eu coloquei uma recompensa nessa questão porque o SO não era tão popular quando fiz a pergunta como é hoje (*). Quanto a qualquer coisa relacionada à segurança, quanto mais pessoas investigarem, melhor será!

(*) Na verdade, acho que ainda estava na versão beta fechada