HTML Escape и Unescape

Кодируйте HTML-сущности или декодируйте их обратно — в одном рабочем пространстве

Ввод

Введите HTML для экранирования
0 символов

Настройки

Именованные: < | Десятичные: < | Шестнадцатеричные: <

Вывод

Результат HTML-сущностей
0 символов
Об этом инструменте

Это универсальное рабочее пространство для HTML-сущностей — экранируйте специальные символы вроде <, >, &, " и ' в соответствующие сущности или декодируйте сущности вроде &amp;, &lt;, &#39; и &#x27; обратно в обычный текст, переключая направление одним щелчком. Это правильная отправная точка, когда вы ещё не уверены, какое направление нужно, или когда вам приходится действовать в обе стороны — например, экранировать пример кода для публикации, а затем декодировать экспорт из CMS, чтобы проверить, что на самом деле хранится. Предпочитаете отдельную страницу? Страницы HTML Escape и HTML Unescape сразу открываются в одном направлении с целевыми, специфичными для направления рекомендациями.

Как использовать

Выберите Escape или Unescape с помощью вкладок вверху. Для Escape вставьте необработанный текст или HTML — вывод, закодированный сущностями, появляется по мере ввода, с выбором именованного, десятичного или шестнадцатеричного формата сущностей. Для Unescape вставьте текст, закодированный сущностями, чтобы восстановить исходные символы, включая смешанные именованные и числовые сущности. Переключайте «Сохранять переносы строк», чтобы контролировать, сохраняются ли переводы строк, и используйте «Кодировать все символы» в режиме Escape для вывода с максимальной совместимостью. Когда активен режим Escape, инструмент отслеживает ввод, который уже выглядит закодированным сущностями, и предлагает переключиться на Unescape одним щелчком.

Типичные сценарии

Переключение посреди задачи

Экранируйте пример кода для безопасной публикации на веб-странице, а затем вставьте обратно экспорт из CMS и переключитесь на Unescape, чтобы проверить, какой HTML на самом деле хранился.

Рабочий процесс предотвращения XSS

Экранируйте пользовательский ввод перед отображением, а затем декодируйте сохранённые значения во время аудита безопасности, чтобы убедиться, что не закралось двойное кодирование.

Отладка шаблонов

Экранируйте фрагмент, чтобы увидеть его буквальное HTML-представление, или декодируйте вывод отрендеренного шаблона, чтобы проверить, какие теги были фактически сгенерированы.

Круговой путь в конвейере данных

Экранируйте HTML-фрагменты перед сохранением их в JSON или XML, а затем декодируйте их снова при обратном чтении данных.

Ограничения и важные примечания

Экранирование HTML-сущностей не заменяет полную санитизацию HTML — оно защищает от неверной интерпретации символов как разметки, но не удаляет опасные атрибуты или скрипты из HTML, который вы не контролируете. Вся обработка выполняется на стороне клиента, поэтому очень большие документы ограничены доступной памятью браузера. Двойное экранирование (повторное применение Escape к уже экранированному тексту) и двойное декодирование (декодирование уже обычного текста) технически безвредны, но могут дать неожиданный на вид результат при случайном применении — проверьте текущее состояние вашего ввода перед выбором направления.