HTML-codieren Sie Text, bevor Sie ihn in Markup-Beispiele einfügen
Die Darstellung von `<script>` in einem Dokument ohne Codierung führt dazu, dass Demos zu XSS-Demos werden. Escapen Sie `< > & " '` (Richtlinie auf der Seite).
Zeichen: 26
Wann verwenden?
Blog-Ausschnitte, E-Mail-HTML oder zum Erlernen von Entitäten, damit Markup nicht ausgeführt wird.
Beispiele
So funktioniert's
Ersetzt gemäß Entity-Tabelle (&, <, >, Anführungszeichen usw.). Kein vollständiger Schutz gegen XSS in jedem Kontext.
Häufige Fallstricke
- Kodierung ≠ Bereinigung von Skripten in jeder Umgebung.
- Regeln für Attribut- vs. Textkontext unterscheiden sich.
- Nicht leichtfertig mit JSON-Escape vermischen.
Wie unterscheidet sich das
HTML-Entitäten für Markup; JSON-Escape für JSON-Zeichenfolgen; URL-Kodierung für Abfrage/Pfad.
FAQ
Reicht das aus, um XSS in meiner App zu verhindern?
Codierung hilft im HTML-Text-Kontext; Apps benötigen kontextabhängige Codierungs-Frameworks.
Alle Unicode-Zeichen codieren?
Numerische Entitäten optional; Standard ist der übliche XML/HTML-Satz.
Umkehrung?
HTML Decode.
Unterschied zu JSON-Escape?
Verschiedene Sprachen/Ziele.
Verwandte Werkzeuge
Läuft im Browser. Nichts wird hochgeladen. Kein Sicherheitsprodukt — Hashes und JWT-Dekodierung dienen der Fehlersuche, nicht der Passwortspeicherung oder Authentifizierungsberatung.