HTML Escape Unescape

HTML Escape/Unescape คืออะไร?

• Escape: แปลงอักขระพิเศษ (เช่น <, >, &, ", ') เป็นเอนทิตี HTML (เช่น <, >, &)

• Unescape: แปลงเอนทิตี HTML กลับไปเป็นอักขระดั้งเดิม เพื่อให้สามารถแสดงผลหรือประมวลผลเป็นข้อความธรรมดาได้

เหตุใดจึงใช้ HTML Escape/Unescape

• เพื่อ ป้องกันการแทรก HTML หรือการโจมตีแบบ Cross-Site Scripting (XSS) โดยถือว่าอินพุตของผู้ใช้เป็นข้อความ ไม่ใช่โค้ด

• เพื่อ แสดง อักขระที่มีความหมายพิเศษอย่างปลอดภัย ในรูปแบบ HTML

• เพื่อให้แน่ใจถึงความสมบูรณ์ของข้อมูล เมื่อฝังข้อความดิบลงในเอกสาร HTML

วิธีใช้ HTML Escape/Unescape

• ใช้ไลบรารีหรือฟังก์ชันเฉพาะภาษา:

  • JavaScript: textContent หรือ DOMParser (สมัยใหม่) หรือไลบรารีเช่น he

  • Python: html.escape() และ html.unescape()

  • Java/.NET: ใช้ไลบรารีเช่น Apache Commons Text หรือ System.Net.WebUtility

• การ Escape จะแทนที่ < ด้วย <, > ด้วย >, & ด้วย & เป็นต้น

• การ Unescaping จะย้อนกลับเพื่อแปลงข้อความกลับเป็นรูปแบบที่อ่านได้

เมื่อใดจึงควรใช้ HTML Escape/Unescape

• เมื่อแสดงอินพุตของผู้ใช้ บนเว็บเพจ

• เมื่อแทรกข้อความดิบลงในแอตทริบิวต์ องค์ประกอบ หรือสคริปต์ HTML

• เมื่อประมวลผลหรือทำความสะอาดเนื้อหา HTML จากแหล่งภายนอก

• เมื่อสร้างเทมเพลตเว็บ หรือการแสดงผลฝั่งเซิร์ฟเวอร์ ตรรกะ