2026-05-18 · 1 Min. Lesezeit
HTML-Entity-Encoding in APIs und Templates
Benutzerinhalt escapen, bevor er in HTML oder JSON-Stringfelder eingebettet wird.
HTMLSicherheitXSS
Wichtige Punkte
- Encoding ist kontextspezifisch – HTML-Entities ersetzen kein URL- oder JavaScript-Escaping.
- Nur vertrauenswürdigen Inhalt dekodieren; nie angreiferkontrollierte Strings vor dem Rendern dekodieren.
Das richtige Escaping wählen
HTML-Entity-Encoding für Textknoten; URL-Encoding für Query-Parameter; JSON-String-Escaping innerhalb von JSON.
Tools in dieser Reihenfolge verketten, wenn zusammengesetzte Payloads gebaut werden.
Häufige Fragen
Verhindert das XSS?
Hilft beim Einfügen von Text in HTML, aber Framework-Auto-Escaping und CSP als Hauptverteidigung.
Benannte vs. numerische Entities?
Beides für gängige Zeichen unterstützt; Ausgabe in der Ziel-Template-Engine prüfen.