HTML Escape/Unescape|XSS 対策の基本

HTML XSS セキュリティ
結論

ユーザー入力を HTML に埋め込む前は必ずエスケープします。

概要

ユーザー入力を HTML に埋め込む前は必ずエスケープします。

ツールで試す

HTMLエスケープ はブラウザ内で完結し、入力データをサーバーに送信しません。

関連リンク

関連記事

あわせて読むと理解が深まる関連記事をまとめました。

トピック記事
Escape Sequence 一覧Escape Sequence 一覧|\n \t Unicode エスケープ
Case ConverterCase Converter|camelCase snake_case 一括変換
HTMLエスケープ(サニタイズ)が必要な理由HTMLエスケープ(サニタイズ)が必要な理由|XSS攻撃を防ぐ基礎知識
HTML Popover API 完全ガイドHTML Popover API 完全ガイド|popover・popovertarget・light dismiss・アクセシビリティ
XSS攻撃と防御の完全ガイドXSS攻撃と防御の完全ガイド|反射型・蓄積型・DOM型の対策
Regex テストオンラインRegex テストオンライン|正規表現のデバッグ
Content Security Policy (CSP) 設定ガイドContent Security Policy (CSP) 設定ガイド|XSS・クリックジャッキング対策
CSS Minify 本番ワークフローCSS Minify 本番ワークフロー|ビルドとの併用
Dummy Image PlaceholderDummy Image Placeholder|開発用プレースホルダー
Favicon GeneratorFavicon Generator|ico/png/svg マルチサイズ
OGP PreviewOGP Preview|SNS シェアカードの確認
Service Worker キャッシュ戦略ガイドService Worker キャッシュ戦略ガイド|PWA の cache-first・network-first・SWR・Workbox 設計