El lenguaje de marcado de hipertexto (HTML) es el idioma principal utilizado para las páginas web en Internet. Incluye soporte para varios otros idiomas que agregan características y estilos adicionales, como: B. JavaScript y CSS. Todos estos lenguajes se basan en texto y contienen algunos caracteres significativos que se utilizan para separar cadenas literales que se imprimirán en el navegador y el código que se interpretará y ejecutará.
Sin embargo, hay algunos problemas con este diseño que se hacen evidentes cuando desea imprimir cualquiera de los caracteres significativos en el navegador. Los mejores caracteres de ejemplo son los símbolos «menor que» y «mayor que». Estos símbolos se utilizan para abrir y cerrar segmentos de código en HTML, respectivamente. La forma correcta de imprimir de forma segura estos caracteres en la pantalla es utilizar entidades HTML.
Entidades HTML y seguridad
Dado que estos caracteres tienen significados especiales, debe tener mucho cuidado para asegurarse de reemplazarlos con la versión de la entidad HTML si desea que se impriman en el navegador. Desafortunadamente, muchos desarrolladores web olvidan que los usuarios pueden enviar información a muchos sitios web. Si esta entrada del usuario contiene caracteres significativos y no se reemplazan con entidades HTML en un proceso conocido como limpieza, el sitio web tiene una vulnerabilidad de secuencias de comandos entre sitios (XSS).
Sugerencia: no intente enviar caracteres especiales a sitios web para encontrar vulnerabilidades XSS. Esto es técnicamente piratería y un delito penal a menos que tenga el permiso del propietario del sitio web.
Cómo funcionan las entidades HTML (y en ocasiones no)
Las entidades HTML funcionan porque el navegador sabe que se mostrarán como caracteres especiales relevantes y no se tratarán como caracteres especiales. Todas las entidades HTML comienzan con un ampersand «&» y terminan con un punto y coma «;». La mayoría de los caracteres se identifican mediante un número de entidad, aunque algunos caracteres especiales también tienen un nombre corto. Por ejemplo, «&», «<" und ">«los números de entidad» & «,»<" und ">«así como los nombres de entidad» & amp; «,» & lt; «y» & gt; «Respectivamente. El navegador sabe que estas cadenas significan que los caracteres relevantes deben mostrarse.
Consejo: para obtener una lista completa de los nombres de entidades de caracteres, consulte aquíSin embargo, la compatibilidad con el nombre de la entidad varía según el navegador.
En la mayoría de los casos, los usuarios solo deberían ver caracteres que representan entidades HTML a la vez. Sin embargo, es posible ver caracteres codificados, generalmente un ampersand «&», mediante un proceso llamado «codificación doble». Esto sucede cuando el signo comercial se muestra en su propia versión codificada. La codificación doble generalmente ocurre cuando la entrada se codifica correctamente mientras se transmite. Sin embargo, cuando se emite, se purga de nuevo. Esto conduce a un ampersand al comienzo de «& amp;» Si el navegador se codifica por segunda vez y aparece como «& amp; amp;» se muestra, lo interpreta correctamente como una cadena que termina como «& amp;» debe imprimirse. decodificó la entidad HTML e ignoró la subentidad.
