在日常的代码审计和渗透测试中,我经常会遇到前端页面因为一些“小细节”没处理好,不仅导致页面显示乱码、排版错位,甚至直接引发了严重的XSS(跨站脚本攻击)漏洞。
今天,咱们不聊深奥的黑客技术,来聊聊前端开发中最基础,但也最容易被忽视的护城河技术——HTML字符实体(HTML Entities)。这篇文章干货满满,建议前端新手和对Web安全感兴趣的朋友先点赞收藏,随时拿出来当字典查阅!
一、 为什么键盘上明明有这个符号,却打不出来?
很多刚接触网页开发的新手都会遇到两个非常抓狂的场景:
- 场景一:老板让你在网页底部加一个版权符号“©”或者注册商标“®”,你在键盘上找了半天,发现根本打不出来!
- 场景二:你想在网页上写一段教程,告诉用户“学习了
<h1>标签的作用”,结果网页一刷新,“学习了标签的作用”几个字变成了巨大的黑体字,而<h1>这几个字符直接消失了!
为啥会这样?
因为在HTML的世界里,像<和>这样的符号是有特权的,浏览器会把它们当成代码标签来解析,而不是普通的文本。如果你强行输入,浏览器就会“会错意”。
为了解决这个问题,聪明的HTML设计者发明了字符实体。
📌 什么是字符实体?
简单来说,它就是特殊字符的“替身”。它的语法规则非常死:
- 必须以
&(和号)开头 - 必须以
;(英文分号)结尾 - 中间跟上实体名称或者实体编号
比如,空格的实体名称是 ,它的实体编号是 。两者效果完全一样,但在实际开发中,我们强烈建议优先使用实体名称,因为人脑记英文缩写总比记一串无规律的数字容易得多!
二、 核心实战:字符实体的两大“救场”应用
必须强调字符实体的两大核心作用:排版展示与安全防御。我们直接上代码看效果。
🛡️ 实战 1:防解析与防注入(转义<和>)
这是最关键的一个应用!当我们需要在网页中完整显示一段HTML代码时,必须进行转义。在网络安全中,这也是防御XSS攻击最基
