在放入标记示例前先对文本进行 HTML 编码
在文档中显示 `<script>` 而不进行编码,演示就会变成 XSS 演示。转义 `< > & " '`(策略列在页面上)。
字符: 26
使用时机
用于博客片段、电子邮件 HTML 或教学实体,使标记不会执行。
示例
工作原理
按实体映射替换(&、<、>、引号等)。并非在所有上下文中都能完全抵御 XSS。
常见陷阱
- 编码不等于在所有上下文中净化脚本。
- 属性上下文和文本上下文的规则不同。
- 不要随意与 JSON 转义混用。
区别说明
HTML 实体用于标记;JSON 转义用于 JSON 字符串;URL 编码用于查询/路径。
常见问题
这足以阻止我应用中的 XSS 吗?
编码在 HTML 文本上下文中有效,但应用需要上下文的编码框架。
编码所有 Unicode?
数值实体可选;默认使用常见的 XML/HTML 集。
反向操作?
HTML 解码。
与 JSON 转义的区别?
不同的语言/目标。
相关工具
在浏览器中运行。不上传任何内容。非安全产品——哈希和JWT解码仅用于调试,不用于密码存储或身份验证建议。