2026-05-18 · 1분 읽기

API와 template에서 HTML entity encoding

HTML 또는 JSON string field에 embed하기 전 user content를 escape하세요.

HTML보안XSS

핵심 요점

encoding은 context-specific입니다 — HTML entity는 URL 또는 JavaScript escaping을 대체하지 않습니다.
trusted content만 decode하세요; render 전 attacker-controlled string은 decode하지 마세요.

text node에는 HTML entity encoding; query parameter에는 URL encoding; JSON 안에는 JSON string escaping.

composite payload를 만들 때 이 순서로 tool을 chain하세요.

XSS를 막나요?

HTML에 text 삽입 시 도움이 되지만 framework auto-escaping과 CSP를 primary defense로 쓰세요.

named vs numeric entities?

common character 모두 지원; target template engine에서 output verify하세요.