Question 1

Quels caractères doivent être encodés en HTML ?

Accepted Answer

Les cinq caractères obligatoires sont : < (devient <), > (devient >), & (devient &), " (devient "), et ' (devient ' ou '). Encoder ces caractères prévient les injections HTML et les vulnérabilités XSS. D'autres caractères Unicode peuvent optionnellement être encodés comme entités numériques (ex. : é → é ou é).

Question 2

Quelle est la différence entre l'encodage HTML et l'encodage URL ?

Accepted Answer

L'encodage HTML (aussi appelé échappement HTML) remplace les caractères ayant une signification spéciale en HTML par des entités nommées comme & et <. L'encodage URL (codage en pourcentage) remplace les caractères non sûrs dans les URL par des séquences %XX, comme %20 pour une espace. Ils sont utilisés dans des contextes différents et ne sont pas interchangeables.

Question 3

Quand dois-je encoder vs. décoder les entités HTML ?

Accepted Answer

Encodez lors de l'insertion de contenu généré par l'utilisateur ou non fiable dans du HTML — cela prévient les attaques XSS (cross-site scripting). Décodez lorsque vous recevez du contenu encodé en entités HTML et devez afficher ou traiter le texte brut. Ne stockez jamais du HTML décodé de sources non fiables directement dans une base de données sans assainissement.

Question 4

L'encodage HTML protège-t-il contre toutes les attaques XSS ?

Accepted Answer

L'encodage HTML est la défense principale contre les attaques XSS réfléchies et stockées dans les contextes HTML. Cependant, il n'est pas suffisant dans tous les contextes : les chaînes JavaScript nécessitent un échappement JavaScript, les valeurs CSS nécessitent un échappement CSS, et les URL nécessitent un encodage URL. Appliquez toujours l'échappement approprié au contexte au point exact de sortie.

Question 5

Quelle est la différence entre les entités nommées et les références de caractères numériques ?

Accepted Answer

Les entités nommées sont des alias lisibles par l'humain : & pour &, &copy; pour ©, &euro; pour €. Les références numériques utilisent le point de code Unicode : &#169; (décimal) ou &#xA9; (hexadécimal) représentent tous deux ©. Utilisez les entités nommées pour la lisibilité quand elles sont disponibles ; les références numériques fonctionnent pour tout caractère Unicode.

HTML Encoder / Decoder

Questions Fréquentes

Implémentation du Code

Comments & Feedback