Thực thể HTML

Trường hợp sử dụng

• •Thoát nội dung người dùng để an toàn HTML — chuyển đổi `<script>` thành `&lt;script&gt;` trước khi chèn vào một mẫu.
• •Đọc mã nguồn email HTML thô — giải mã `&amp;` và `&#x2603;` để xem những gì người nhận thực sự thấy.
• •Xây dựng các đoạn mã an toàn cho CMS — mã hóa `'` và `"` để một cột cơ sở dữ liệu không làm hỏng ngữ cảnh SQL hoặc HTML.
• •Gỡ lỗi báo cáo XSS — giải thoát đầu vào nghi ngờ để khôi phục lại tải trọng gốc mà các công cụ bảo mật đã đánh dấu.

Khi nào bạn cần mã hóa thực thể HTML?

Khi văn bản do người dùng cung cấp được hiển thị trong HTML, các ký tự như `<` và `>` phải được thoát thành `&lt;` và `&gt;` để tránh bị hiểu nhầm là thẻ. Bỏ qua điều này là nguyên nhân gốc rễ của các lỗ hổng XSS. Công cụ sẽ mã hóa năm ký tự không an toàn chính trong HTML cộng với bất kỳ Unicode nào bạn chọn để thoát.

Các thực thể số (`&#38;`, `&#x26;`) hoạt động trong bất kỳ ngữ cảnh HTML nào. Các thực thể có tên (`&amp;`, `&copy;`) dễ đọc hơn nhưng chỉ hoạt động trong HTML — các bộ phân tích XML không biết tất cả các tên HTML.

Ví dụ

Câu hỏi thường gặp