2026-05-18 · Чтение 1 мин
HTML entity encoding в API и templates
Escape user content перед embed в HTML или JSON string fields.
HTMLбезопасностьXSS
Основные выводы
- Encoding context-specific — HTML entities не заменяют URL или JavaScript escaping.
- Decode только trusted content; не decode attacker-controlled strings перед render.
Выберите правильный escape
HTML entity encoding для text nodes; URL encoding для query parameters; JSON string escaping внутри JSON.
Chain tools в этом порядке при composite payloads.
Часто задаваемые вопросы
Предотвращает XSS?
Помогает при вставке текста в HTML, но primary defenses — framework auto-escaping и CSP.
Named vs numeric entities?
Оба поддерживаются для common characters; verify output в target template engine.