HTML एस्केप/अनएस्केप

जब भी आप कोई उपयोगकर्ता इनपुट प्रदर्शित करते हैं—जैसे टिप्पणी, संदेश, फ़ॉर्म डेटा आदि—तो एस्केपिंग आवश्यक है। जो भी सामग्री HTML टैग शामिल कर सकती है, उसे एस्केप करना चाहिए।

दोनों < (less‑than) का प्रतिनिधित्व करते हैं। &lt; एक नेम्ड एंटिटी है (lt = less‑than); &#60;/&#x3C; न्यूमेरिक/हेक्स एंटिटी हैं। आधुनिक HTML में उनका व्यवहार लगभग समान है: पठनीयता के लिए &lt; उपयोग करें; जब नेम्ड एंटिटी उपलब्ध न हों या किसी भी मनमाने कैरेक्टर/मार्कअप के लिए हो, तो &#60;/&#x3C; उपयोग कर सकते हैं। हमेशा अंतिम सेमीकोलन (जैसे &lt;) जोड़ें; इसके बिना पार्सिंग, बाद के अक्षरों से चिपक सकती है, उदाहरण के लिए “&notin” को “&not;”+“in” → “¬in” की तरह पढ़ा जा सकता है।

नहीं। HTML एस्केपिंग केवल HTML संदर्भ में काम करती है। JavaScript, CSS और URL संदर्भ के लिए अलग‑अलग एस्केपिंग तरीकों की आवश्यकता होती है।

यह तब होता है जब कंटेंट दो बार एस्केप हो जाता है। पहले <, &lt; बनता है, फिर & को एस्केप करके &amp; बना दिया जाता है, जिससे &amp;lt; बनता है। दोहराए गए एस्केप से बचें।

इसके लिए केवल एस्केपिंग नहीं, बल्कि सैनिटाइज़ेशन ज़रूरी है: सुरक्षित टैग/अट्रिब्यूट की allow‑list बनाएँ और प्रोटोकॉल को फ़िल्टर करें। p/br/ul/ol/li/a/strong/em/code/pre/blockquote/h1–h3 जैसे टैग रखें; a के लिए केवल href/title/target (प्रोटोकॉल http/https/mailto/tel) की अनुमति दें, img के लिए केवल src/alt; style और सभी on* इवेंट हटाएँ। DOMPurify/sanitize‑html जैसी लाइब्रेरी सुझाई जाती हैं; सम्भव हो तो सर्वर‑साइड सैनिटाइज़ करें; कभी भी अविश्वसनीय कंटेंट को innerHTML/dangerouslySetInnerHTML में सीधे न डालें, साधारण टेक्स्ट के लिए textContent का उपयोग करें।