DevKitBase
工具關於隱私權

在將文字放入標記範例前,先進行 HTML 編碼

在文件中未編碼就顯示 `<script>` 是讓示範變成 XSS 示範的方式。請跳脫 `< > & " '`(頁面上列出規則)。

字元: 26
輸入
輸出

使用時機

用於部落格片段、電子郵件 HTML,或教學實體(entity),避免標記被執行。

範例

輸入
<div class="x">A & B</div>
輸出
&lt;div class=&quot;x&quot;&gt;A &amp; B&lt;/div&gt;
輸入
<b>
輸出
&lt;b&gt;

運作方式

依實體對應表取代(&, <, >, 引號等)。並非在所有情境中都能完全防範 XSS。

常見陷阱

  • 編碼 ≠ 在所有接收點中清理腳本。
  • 屬性與文字上下文的規則不同。
  • 不要隨意與 JSON 跳脫混用。

差異說明

HTML 實體用於標記;JSON 跳脫用於 JSON 字串;URL 編碼用於查詢/路徑。

常見問題

這樣就能阻止我的應用程式中的 XSS 嗎?
編碼在 HTML 文字情境中有幫助;應用程式需要情境感知的編碼框架。
編碼所有 Unicode 字元?
數值實體可選;預設為常見的 XML/HTML 集合。
反向操作?
HTML 解碼。
與 JSON 跳脫的差異?
不同的語言/目標。

相關工具

在瀏覽器中執行。不上傳任何資料。非安全產品——雜湊與 JWT 解碼僅供除錯使用,非密碼儲存或驗證建議。