HTML Kaçış/Kaldırma

HTML içeriğine veya öznitelik bağlamına güvenilmeyen metin eklendiğinde HTML çıkışını kullanın. Düz metin için textContent'i veya çerçevenizin varsayılan kaçışını tercih edin ve JavaScript, CSS, URL veya JSON bağlamları için farklı kaçış kullanın.

İkisi de < karakterini temsil eder. &amp;lt; adlandırılmış varlıktır (lt = less-than); &amp;#60;/&amp;#x3C; sayısal/onaltılık varlıklardır. Modern HTML’de sonuç aynıdır: okunabilirlik için &amp;lt; kullanın, desteklenmediği veya rastgele karakter gerektiği durumlarda &amp;#60;/&amp;#x3C; tercih edin. Sonda mutlaka noktalı virgül olmalıdır; aksi halde sonraki harflerle birleşip yanlış yorumlanabilir (örn. “&amp;notin” → “&amp;not;” + “in” → “¬in”).

Hayır. HTML kaçışı yalnızca HTML varlık bağlamlarında işe yarar. JavaScript dizeleri, CSS, URL'ler, JSON ve zengin HTML'in tümü farklı işleme gerektirir.

İçerik iki kez kaçırıldığında oluşur. Önce &lt; → &amp;lt;, ardından &amp; → &amp;amp; olur ve sonuç &amp;amp;lt; şeklinde görünür. Aynı veriyi yeniden kaçırmaktan kaçının.

Bu kaçış aracını değil, temizlemeyi kullanın. Temizleyici, güvenli etiketleri ve nitelikleri izin verilenler listesine ekleyebilir, protokolleri filtreleyebilir ve olayları veya stilleri kaldırabilir. DOM Purify veya sanitize-html gibi kitaplıkları kullanın, mümkün olduğunda sunucuda temizleyin ve düz metin için textContent'i kullanın.