마크업 예제에 넣기 전에 HTML 인코드
인코딩 없이 문서에 `<script>`를 표시하면 데모가 XSS 데모가 됩니다. `< > & " '` 이스케이프 (정책 페이지에 나열).
문자: 26
사용 시기
블로그 스니펫, 이메일 HTML, 마크업이 실행되지 않도록 엔티티를 설명할 때.
예제
작동 방식
엔티티 맵(&, <, >, 따옴표 등)에 따라 대체합니다. 모든 컨텍스트에서 XSS에 대한 완전한 살균기는 아닙니다.
일반적인 함정
- 인코딩이 모든 싱크에서 스크립트를 살균하는 것은 아닙니다.
- 속성과 텍스트 컨텍스트의 규칙이 다릅니다.
- JSON 이스케이프와 무분별하게 혼용하지 마세요.
차이점
마크업에는 HTML 엔티티, JSON 문자열에는 JSON 이스케이프, 쿼리/경로에는 URL 인코딩.
자주 묻는 질문
내 앱에서 XSS를 막기에 충분한가요?
인코딩은 HTML 텍스트 컨텍스트에 도움; 앱은 컨텍스트별 인코딩 프레임워크 필요.
모든 유니코드 인코드?
숫자 엔티티 선택사항; 기본 공통 XML/HTML 세트.
역방향?
HTML 디코드.
JSON 이스케이프와 차이?
다른 언어/대상.
관련 도구
브라우저에서 실행됩니다. 업로드되지 않습니다. 보안 제품이 아닙니다 - 해시 및 JWT 디코딩은 디버깅용이며 비밀번호 저장 또는 인증 조언이 아닙니다.