2026-05-18 · 1 min leestijd
HTML entity encoding in API's en templates
Escape gebruikersinhoud vóór embedden in HTML of JSON string-velden.
HTMLbeveiligingXSS
Belangrijkste punten
- Encoding is context-specifiek — HTML entities vervangen geen URL- of JavaScript-escaping.
- Decodeer alleen vertrouwde content; decodeer nooit attacker-controlled strings vóór render.
Kies de juiste escape
Gebruik HTML entity encoding voor text nodes; URL encoding voor query parameters; JSON string escaping binnen JSON.
Chain tools in die volgorde bij composite payloads.
Veelgestelde vragen
Voorkomt dit XSS?
Het helpt bij tekst in HTML, maar gebruik framework auto-escaping en CSP als primaire verdediging.
Named vs numeric entities?
Beide worden ondersteund voor veelvoorkomende tekens; verifieer output in je target template engine.