在將文字放入標記範例前,先進行 HTML 編碼
在文件中未編碼就顯示 `<script>` 是讓示範變成 XSS 示範的方式。請跳脫 `< > & " '`(頁面上列出規則)。
字元: 26
使用時機
用於部落格片段、電子郵件 HTML,或教學實體(entity),避免標記被執行。
範例
運作方式
依實體對應表取代(&, <, >, 引號等)。並非在所有情境中都能完全防範 XSS。
常見陷阱
- 編碼 ≠ 在所有接收點中清理腳本。
- 屬性與文字上下文的規則不同。
- 不要隨意與 JSON 跳脫混用。
差異說明
HTML 實體用於標記;JSON 跳脫用於 JSON 字串;URL 編碼用於查詢/路徑。
常見問題
這樣就能阻止我的應用程式中的 XSS 嗎?
編碼在 HTML 文字情境中有幫助;應用程式需要情境感知的編碼框架。
編碼所有 Unicode 字元?
數值實體可選;預設為常見的 XML/HTML 集合。
反向操作?
HTML 解碼。
與 JSON 跳脫的差異?
不同的語言/目標。
相關工具
在瀏覽器中執行。不上傳任何資料。非安全產品——雜湊與 JWT 解碼僅供除錯使用,非密碼儲存或驗證建議。