2026-05-18 · 1 min de lecture
Encodage d'entités HTML dans les API et templates
Échappez le contenu utilisateur avant de l'intégrer dans HTML ou champs string JSON.
HTMLsécuritéXSS
Points clés
- L'encodage dépend du contexte — les entités HTML ne remplacent pas l'échappement URL ou JavaScript.
- Décodez seulement du contenu de confiance ; ne décodez jamais des chaînes contrôlées par un attaquant avant rendu.
Choisir le bon escape
Utilisez l'encodage d'entités HTML pour les nœuds texte ; URL encoding pour les paramètres de requête ; JSON string escaping dans JSON.
Enchaînez les outils dans cet ordre lors de payloads composites.
Questions fréquentes
Empêche-t-il XSS ?
Cela aide à insérer du texte dans HTML, mais utilisez l'auto-échappement du framework et CSP comme défenses principales.
Entités nommées vs numériques ?
Les deux sont supportées pour les caractères courants ; vérifiez la sortie dans votre moteur de template cible.