在线 HTML 实体转义工具,将特殊字符(< > & " ')转义为 HTML 实体(< > & "),或将 HTML 实体反解码为普通字符,有效防止 XSS 注入,确保网页内容安全显示。
HTML 实体是用于在 HTML 中显示保留字符或特殊字符的代码。例如 < 显示为 <,& 显示为 &。
转义 HTML 可防止显示用户生成内容时的 XSS 攻击。
在 HTML 内容中,< 和 > 必须转义为 < 和 > 以防止被解析为标签;& 必须转义为 &。在 HTML 属性值中,双引号 " 必须转义为 ",单引号 ' 转义为 '。正确转义是防止 XSS 攻击的基础安全措施。
必须编码的字符:< 和 > 避免被解析为标签(< >);& 避免被解析为实体开始(&);属性值中的引号(")。用户输入的内容在展示到页面前务必进行 HTML 实体转义,防止 XSS(跨站脚本)攻击。现代框架(React、Vue)会自动处理这一转义。