Échappement / Déséchappement HTML

Échappez ou déséchappez les caractères HTML pour prévenir les vulnérabilités XSS et afficher le code en toute sécurité.

Conversion HTML

Comprendre l'échappement et le déséchappement HTML

L'échappement HTML est le processus de conversion de caractères spéciaux (tels que les chevrons, les esperluettes et les guillemets) en leurs entités HTML correspondantes (par exemple, <, >, &, ", ' ou '). C'est une mesure de sécurité cruciale, en particulier lors de l'affichage de contenu généré par l'utilisateur sur une page Web.

La principale raison de l'échappement HTML est de prévenir les attaques Cross-Site Scripting (XSS). Si une entrée utilisateur non échappée contenant des scripts malveillants (par exemple, des balises de script avec du code exécutable) est rendue directement dans un navigateur, le script pourrait s'exécuter, entraînant un détournement de session, un vol de données ou une dégradation du site Web.

Inversement, le déséchappement HTML est le processus de reconversion de ces entités HTML en leurs caractères d'origine. Ceci est utile lorsque vous devez récupérer le texte original d'une chaîne échappée, par exemple, lors du traitement de données qui ont été précédemment échappées pour un stockage ou une transmission sécurisés.

Entités HTML courantes

  • Le symbole inférieur à devient &lt;
  • Le symbole supérieur à devient &gt;
  • L'esperluette devient &amp;
  • Le guillemet double devient &quot;
  • Le guillemet simple / l'apostrophe devient &#39; ou &apos;

Foire aux questions (FAQ)