HTML escapen/unescapen

Gebruik HTML-escaping wanneer niet-vertrouwde tekst wordt ingevoegd in een HTML-inhoud of attribuutcontext. Geef de voorkeur aan textContent of de standaard escaping van uw framework voor platte tekst, en gebruik andere escaping voor JavaScript-, CSS-, URL- of JSON-contexten.

Beide stellen het teken < voor. &amp;lt; is een benoemde entiteit (lt = less‑than), &amp;#60;/&amp;#x3C; zijn decimale/hex-entiteiten. In moderne HTML gedragen ze zich gelijk: gebruik &amp;lt; voor leesbaarheid; gebruik &amp;#60;/&amp;#x3C; wanneer benoemde entiteiten niet worden ondersteund of u willekeurige tekens/markuptalen moet afdekken. Vergeet het afsluitende puntkomma niet, anders kan de parser entiteiten en tekst samenvoegen.

Nee. HTML-escaping werkt alleen voor HTML-entiteitscontexten. JavaScript-reeksen, CSS, URL's, JSON en rijke HTML vereisen allemaal een verschillende verwerking.

Dit gebeurt als inhoud twee keer is geescaped. Eerst wordt < → &amp;lt;, daarna wordt & opnieuw geescaped tot &amp;amp;, waardoor &amp;amp;lt; ontstaat. Vermijd herhaald escapen op dezelfde bron.

Gebruik ontsmettingsmiddel, niet dit ontsnappingsmiddel. Een ontsmettingsmiddel kan veilige tags en attributen op een lijst zetten, protocollen filteren en gebeurtenissen of stijlen verwijderen. Gebruik bibliotheken zoals DOM Purify of sanitize-html, reinig indien mogelijk op de server en gebruik textContent voor platte tekst.