什么是 HTML 转义/反转义 工具?
HTML Escaping 是将特殊字符转换为对应 HTML 实体的过程,这样浏览器会将它们显示为文本,而不是解析为 HTML 代码。
HTML Unescaping 则是相反的过程,它将 HTML 实体转换回原始字符。
为什么要使用 HTML Escape/Unescape?
- 安全性(防止 XSS 攻击)
Escaping 可以防止跨站脚本攻击(XSS),确保用户输入被当作文本处理。 - 安全显示特殊字符
像<、>、&和"在 HTML 中具有特殊含义。- 示例:在页面上显示
<div>作为文本,而不是 HTML 元素。
- 示例:在页面上显示
- 表单或代码片段中的数据完整性
Escaping 可确保内容不会因为嵌入标签或符号而被破坏。
工作原理
HTML Escaping 将特殊字符替换为 HTML 实体:
| Character | Escaped Entity |
|---|---|
< | < |
> | > |
& | & |
" | " |
' | ' |
示例:
原始:
<script>alert("Hi")</script>
转义后:
<script>alert("Hi")</script>Unescaping 会将该过程反向执行。
发表回复