&;HTML 엔티티 변환
HTML 엔티티 인코딩/디코딩
HTML 엔티티 인코더/디코더 가이드
HTML 엔티티는 HTML 문서에서 특수 의미를 가지는 문자(<, >, &, ")를 안전하게 표시하기 위한 표현법입니다. 사용자 입력을 웹 페이지에 출력할 때 XSS 공격을 방지하거나, HTML 소스 코드를 화면에 그대로 보여줄 때 필수적으로 사용됩니다.
자주 쓰이는 엔티티
| 문자 | 이름 참조 | 숫자 참조 | 용도 |
|---|---|---|---|
| < | < | < | 태그 시작 |
| > | > | > | 태그 끝 |
| & | & | & | 엔티티 시작 |
| " | " | " | 속성 구분자 |
| ' | ' | ' | 속성 구분자 |
| 공백 | |   | 줄바꿈 방지 공백 |
| © | © | © | 저작권 |
| ® | ® | ® | 등록상표 |
| € | € | € | 유로 |
XSS 방지 베스트 프랙티스
- 사용자 입력은 항상 인코딩 후 출력
- HTML 컨텍스트뿐 아니라 속성, JS, CSS, URL 컨텍스트별 적절한 인코딩 사용
- 가능하면 innerHTML 대신 textContent 사용
- CSP(Content Security Policy) 헤더 추가