五个关键字符必须转义:< 转为 <、> 转为 >、& 转为 &、" 转为 "、' 转为 '。这些字符在 HTML 中有特殊含义,不转义可能导致标签解析错误或 XSS 漏洞。
HTML 编码用于防止 HTML 特殊字符被解析为标签(XSS 防护);URL 编码用于确保特殊字符可以安全放入 URL 参数。两者场景不同,编码规则也不同。
Unicode 实体编码将字符表示为 &#数字; 格式,例如中文「中」编码为 中。这种方式可以确保任何字符在任何 HTML 文档中都能正确显示。
非常适合。将用户输入做 HTML 实体编码是防止 XSS 攻击的基础手段。在前端渲染用户内容前进行编码,可以确保特殊字符不会被解析为 HTML 标签。