Mã Hóa HTML Entity — Ký Tự Đặc Biệt Đúng Trong HTML

HTML entity là mã đại diện cho các ký tự dành riêng trong HTML. Ví dụ < là &lt;. Nếu không mã hóa đúng, đầu vào người dùng có thể khiến HTML được diễn giải là đánh dấu — một lỗ hổng XSS.

HTML Entity Thường Dùng Nhất

&amp; cho &. &lt; cho <. &gt; cho >. &quot; cho ". &apos; cho '. &nbsp; cho khoảng trắng không ngắt. &copy; cho ©. &euro; cho €. Hãy nhớ năm ký tự dành riêng.

Ngăn Chặn XSS

Cross-site scripting tiêm tập lệnh độc hại qua đầu vào người dùng. Bằng cách mã hóa tất cả đầu vào người dùng trước khi đặt vào HTML, các cuộc tấn công trở nên vô hại. React và Angular làm điều này tự động cho các biểu thức template.

Named Vs. Numeric Entity

Named entity (&copy;) dễ đọc. Numeric entity (&#169; thập phân hoặc &#xA9; thập lục phân) hoạt động cho mọi ký tự Unicode. Dùng named entity khi có sẵn để dễ đọc hơn.