DevKitBase
도구정보개인정보

마크업 예제에 넣기 전에 HTML 인코드

인코딩 없이 문서에 `<script>`를 표시하면 데모가 XSS 데모가 됩니다. `< > & " '` 이스케이프 (정책 페이지에 나열).

문자: 26
입력
출력

사용 시기

블로그 스니펫, 이메일 HTML, 마크업이 실행되지 않도록 엔티티를 설명할 때.

예제

입력
<div class="x">A & B</div>
출력
&lt;div class=&quot;x&quot;&gt;A &amp; B&lt;/div&gt;
입력
<b>
출력
&lt;b&gt;

작동 방식

엔티티 맵(&, <, >, 따옴표 등)에 따라 대체합니다. 모든 컨텍스트에서 XSS에 대한 완전한 살균기는 아닙니다.

일반적인 함정

  • 인코딩이 모든 싱크에서 스크립트를 살균하는 것은 아닙니다.
  • 속성과 텍스트 컨텍스트의 규칙이 다릅니다.
  • JSON 이스케이프와 무분별하게 혼용하지 마세요.

차이점

마크업에는 HTML 엔티티, JSON 문자열에는 JSON 이스케이프, 쿼리/경로에는 URL 인코딩.

자주 묻는 질문

내 앱에서 XSS를 막기에 충분한가요?
인코딩은 HTML 텍스트 컨텍스트에 도움; 앱은 컨텍스트별 인코딩 프레임워크 필요.
모든 유니코드 인코드?
숫자 엔티티 선택사항; 기본 공통 XML/HTML 세트.
역방향?
HTML 디코드.
JSON 이스케이프와 차이?
다른 언어/대상.

관련 도구

브라우저에서 실행됩니다. 업로드되지 않습니다. 보안 제품이 아닙니다 - 해시 및 JWT 디코딩은 디버깅용이며 비밀번호 저장 또는 인증 조언이 아닙니다.