2026-05-18 · 1 min de leitura
Codificação de entidades HTML em APIs e templates
Escape conteúdo de usuário antes de incorporar em HTML ou campos de string JSON.
HTMLsegurançaXSS
Pontos principais
- Codificação é específica de contexto — entidades HTML não substituem escape URL ou JavaScript.
- Decodifique só conteúdo confiável; nunca decodifique strings controladas por atacantes antes de renderizar.
Escolha o escape certo
Codificação de entidades HTML para nós de texto; codificação URL para parâmetros de query; escape de string JSON dentro de JSON.
Encadeie ferramentas nessa ordem ao construir payloads compostos.
Perguntas frequentes
Isso previne XSS?
Ajuda ao inserir texto em HTML, mas use auto-escape do framework e CSP como defesas principais.
Entidades nomeadas vs numéricas?
Ambas suportadas para caracteres comuns; verifique a saída no motor de template alvo.