Що таке сутності HTML

Мова розмітки гіпертексту, або HTML, є основною мовою для веб-сторінок в Інтернеті. Він включає підтримку низки інших мов, які додають додаткову функціональність і стилі, наприклад JavaScript і CSS. Усі ці мови засновані на тексті з деякими значущими символами, які використовуються для відокремлення рядків літер, які мають бути надруковані в браузері, і коду, який слід інтерпретувати та виконувати.

Однак цей дизайн має деякі проблеми, які стають очевидними, коли ви хочете надрукувати один із значущих символів у браузері. Найкращим прикладом символів для використання є символи «менше» та «більше». Відповідно ці символи використовуються для відкриття та закриття сегментів коду в HTML. Правильним методом безпечного друку цих символів на екрані є використання об’єктів HTML.

Сутності HTML і безпека

Завдяки тому, що ці символи мають особливе значення, ви повинні бути дуже обережними, щоб переконатися, що ви замінили їх версією сутності HTML, якщо ви хочете, щоб вони були надруковані у браузері. На жаль, багато веб-розробників забувають, що користувачі можуть надсилати вхідні дані для багатьох веб-сайтів. Якщо цей введений користувачем символ містить значущі символи і вони не замінюються об’єктами HTML у процесі, який називається очищенням, то веб-сайт має вразливість міжсайтових сценаріїв (XSS).

Порада: не намагайтеся надсилати спеціальні си��воли на веб-сайти, намагаючись знайти вразливості XSS. Це технічно є зломом і є кримінальним злочином, якщо у вас немає дозволу від власника веб-сайту.

Як працюють об’єкти HTML (а іноді й ні)

Сутності HTML працюють, оскільки браузер знає, що відображати їх як відповідний спеціальний символ і не розглядати як спеціальний символ. Усі об’єкти HTML починаються з амперсанда «&» і закінчуються крапкою з комою «;». Більшість символів ідентифікуються за номером об’єкта, хоча деякі спеціальні символи також мають скорочене ім’я. Наприклад, «&», «<» і «>» мають номери об’єктів «&», «<» і «>», а також назви об’єктів «&», «<» і «>» відповідно. Браузер знає, що ці рядки означають, що йому потрібно відображати відповідні символи.

Порада: повний список імен символьної сутності можна знайти тут , хоча підтримка імен об’єктів залежить від браузера.

У більшості випадків користувачі повинні бачити лише символи, які представляють об’єкти HTML. Однак можна побачити закодовані символи, зазвичай амперсанд «&», за допомогою процесу, який називається «подвійне кодування». Це відбувається, коли символ амперсанда з’являється у власній закодованій версії. Подвійне кодування зазвичай відбувається, коли вхідний код правильно закодований, оскільки він поданий, однак, коли він виводиться, він знову очищається. Це призводить до того, що амперсанд на початку «&» кодується вдруге і з’являється як «&», потім браузер правильно інтерпретує це як рядок, який слід надрукувати як «&», після декодування сутності HTML та ігнорування часткова сутність.