1.8
HTML编码

HTML编码是一种用于表示问题字符以将其安全并入HTML文档的方案。有许多字符具有特殊的含义（如HTML内的元字符），并被用于定义文档结构而非其内容。为了安全使用这些字符并将其用在文档内容中，就必须对其进行HTML编码。

HTML编码定义了大量HTML实体来表示特殊的字面量字符，如下所示：

＆quot；代表"；

＆apos：代表'；

＆amp；代表＆；

＆lt；代表＜；

＆gt；代表＞。

此外，任何字符都可以使用它的十进制ASCII码进行HTML编码，如下所示：

＆#34；代表"；

#39；代表'。

也可以使用十六进制的ASCII码（以x为前缀），如下所示：

＆#x22；代表"；

＆#x27；代表'。

当攻击Web应用程序时，HTML编码主要在探查跨站点脚本漏洞时发挥作用。如果应用程序在响应中返回未被修改的用户输入，那么它可能容易受到攻击；但是，如果它对危险字符进行HTML编码也许会比较安全。