Köprü Metni İşaretleme Dili veya HTML, internetteki web sayfaları için birincil dildir. JavaScript ve CSS gibi ekstra işlevsellik ve stil ekleyen bir dizi başka dil için destek içerir. Bu dillerin tümü, tarayıcıya yazdırılması gereken değişmez değer dizilerini ve yorumlanması ve yürütülmesi gereken kodu ayırmak için kullanılan bazı anlamlı karakterlerle metin tabanlıdır.
Bu tasarımın bazı sorunları olsa da, anlamlı karakterlerden birini tarayıcıya yazdırmak istediğinizde bunlar belirginleşir. Kullanılacak en iyi örnek karakterler, "küçüktür" ve "büyüktür" sembolleridir. Sırasıyla bu semboller, HTML'deki kod bölümlerini açmak ve kapatmak için kullanılır. Bu karakterleri ekrana güvenli bir şekilde yazdırmanın doğru yöntemi HTML varlıklarını kullanmaktır.
HTML varlıkları ve güvenlik
Özel bir anlamı olan bu karakterler sayesinde, tarayıcıya yazdırılmasını istiyorsanız, onları HTML varlık sürümüyle değiştirdiğinizden emin olmak için gerçekten dikkatli olmalısınız. Ne yazık ki, birçok web geliştiricisi, kullanıcıların birçok web sitesine girdi gönderebileceğini unutuyor. Bu kullanıcı girişi anlamlı karakterler içeriyorsa ve temizleme adı verilen bir süreçte HTML varlıklarıyla değiştirilmiyorsa, web sitesinde Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı vardır.
İpucu: XSS güvenlik açıklarını bulmak için web sitelerine özel karakterler göndermeyi denemeyin. Bunu yapmak teknik olarak bilgisayar korsanlığıdır ve web sitesinin sahibinden izin almadığınız sürece cezai bir suçtur.
HTML varlıkları nasıl çalışır (ve bazen çalışmaz)
HTML varlıkları, tarayıcı onu ilgili özel karakter olarak görüntülemeyi ve özel bir karakter olarak ele almamayı bildiği için çalışır. Tüm HTML varlıkları ve işareti "&" ile başlar ve noktalı virgül ";" ile biter. Bazı özel karakterlerin de bir steno adı olmasına rağmen, çoğu karakter bir varlık numarası ile tanımlanır. Örneğin, “&”, “”, sırasıyla “&”, “” varlık numaralarına ve ayrıca “&”, “” varlık adlarına sahiptir. Tarayıcı, bu dizelerin ilgili karakterleri göstermesi gerektiği anlamına geldiğini bilir.
İpucu: Karakter varlık adlarının tam listesi bulunabilir Burada, varlık adı desteği tarayıcıya göre değişse de.
Çoğu durumda, kullanıcılar yalnızca HTML varlıklarının temsil ettiği karakterleri görmelidir. Bununla birlikte, "Çift kodlama" adı verilen bir işlemle, genellikle "&" işareti olan kodlanmış karakterleri görmek mümkündür. Bu, ve işareti kendi kodlanmış versiyonunda göründüğünde gerçekleşir. Çift kodlama genellikle girdi doğru şekilde kodlandığında, gönderildiği gibi gerçekleşir, ancak çıktı alınırken tekrar sterilize edilir. Bu, “&” başlangıcındaki ve işaretinin ikinci kez kodlanmasına ve “&” olarak görünmesine neden olur, ardından tarayıcı bunu, HTML varlığının kodunu çözerek ve kısmi varlık.