2026-05-18 · 约 1 分钟阅读
API 与模板中的 HTML 实体编码
在嵌入 HTML 或 JSON 字符串前转义用户内容。
HTML安全XSS
要点
- 编码与上下文相关——实体编码不能替代 URL/JS 转义。
- 仅解码可信内容。
选择正确转义
文本节点用 HTML 实体;查询参数用 URL 编码;JSON 内用字符串转义。
组合载荷按此顺序串联工具。
常见问题
能防止 XSS 吗?
在 HTML 文本节点有帮助,但仍需框架自动转义与 CSP。
命名实体与数字实体?
常见字符均支持;请在目标模板引擎中验证。