HTML Escape / Unescape

เข้ารหัสและถอดรหัส HTML entities ออนไลน์

อินพุต

ป้อน HTML ที่ต้องการ escape

0 ตัวอักษร

ตั้งค่า

รูปแบบเอนทิตี

เก็บการขึ้นบรรทัดใหม่

เข้ารหัสทุกตัวอักษร

ชื่อ: &lt; | ทศนิยม: < | เลขฐานสิบหก: <

เอาต์พุต

ผลลัพธ์ HTML entities

0 ตัวอักษร

เครื่องมือที่เกี่ยวข้อง

เครื่องมือเข้า/ถอดรหัส Base64เข้าและถอดรหัสสตริง Base64 ออนไลน์ตัวเข้ารหัส/ถอดรหัส URLเข้ารหัสและถอดรหัส URL อย่างปลอดภัย ตัวแปลงรูปแบบสตริงแปลงรูปแบบตัวพิมพ์ข้อความ

เกี่ยวกับเครื่องมือนี้

การ escape HTML เป็นสิ่งสำคัญพื้นฐานสำหรับความปลอดภัยของเว็บและการแสดงข้อมูล ผมสร้างเครื่องมือนี้หลังจากจัดการกับช่องโหว่ XSS นับไม่ถ้วนระหว่างการตรวจสอบความปลอดภัยและความจำเป็นในการแสดงเนื้อหาที่ผู้ใช้สร้างอย่างปลอดภัย ไม่ว่าคุณจะทำความสะอาดอินพุตฟอร์ม, ดีบั๊กเทมเพลตเอนจิน, เตรียมข้อมูลสำหรับการ serialize JSON/XML หรือสอนแนวคิดความปลอดภัยของเว็บ การเข้ารหัส HTML entity ที่เหมาะสมเป็นสิ่งจำเป็น เครื่องมือนี้รองรับรูปแบบ entity สามแบบ: named entities (<, >), decimal entities (<, >) และ hexadecimal entities (<, >)—แต่ละแบบมีประโยชน์ในบริบทที่แตกต่างกัน การประมวลผลทั้งหมดเกิดขึ้นฝั่งไคลเอนต์ในเบราว์เซอร์ของคุณ ทำให้ปลอดภัยในการจัดการเนื้อหาที่ละเอียดอ่อนโดยไม่ส่งข้อมูลไปยังเซิร์ฟเวอร์ใดๆ

วิธีใช้งาน

สำหรับการ escape: วางข้อความ HTML หรือข้อความที่มีอักขระพิเศษลงในแผงอินพุต เครื่องมือจะแปลงอักขระอย่าง <, >, &, \", และ ' เป็น HTML entity เทียบเท่าโดยอัตโนมัติแบบเรียลไทม์ เลือกรูปแบบ entity ที่ต้องการ: Named (อ่านง่ายที่สุด เช่น &), Decimal (รองรับกันอย่างกว้างขวาง เช่น &) หรือ Hexadecimal (กระชับ เช่น &) สลับ 'เก็บการขึ้นบรรทัดใหม่' เพื่อรักษาหรือลบการขึ้นบรรทัดใหม่ สำหรับการ unescape: วาง HTML ที่มี entities และเครื่องมือจะถอดรหัสกลับเป็นอักขระเดิม ตัวเลือก 'เข้ารหัสอักขระทั้งหมด' จะ escape แม้แต่อักขระที่ไม่ใช่พิเศษ ซึ่งมีประโยชน์สำหรับความเข้ากันได้สูงสุดในกรณีพิเศษ

กรณีการใช้งานทั่วไป

การป้องกัน XSS

Escape อินพุตของผู้ใช้ก่อนแสดง: '<script>alert(XSS)</script>' กลายเป็น '<script>alert(XSS)</script>'

การดีบั๊กเทมเพลต

Unescape เอาต์พุตเทมเพลตที่เรนเดอร์เพื่อดู HTML ที่สร้างจริงๆ

การ Escape สตริง JSON

เตรียมส่วนย่อย HTML สำหรับการ serialize JSON โดยการ escape เครื่องหมายคำพูดและอักขระพิเศษ

การแสดงโค้ด

แสดงตัวอย่างโค้ด HTML บนหน้าเว็บโดยการ escape แท็กเพื่อให้ปรากฏเป็นข้อความ

อีเมล HTML

Escape อักขระพิเศษในหัวเรื่องหรือส่วนหัวของอีเมล

การจัดเก็บฐานข้อมูล

Escape HTML ก่อนเก็บในฟิลด์ข้อความเพื่อป้องกันปัญหาการแสดงผล

ข้อจำกัดและหมายเหตุสำคัญ

เครื่องมือนี้จัดการ HTML entities ที่กำหนดไว้ในข้อกำหนด HTML5 มันไม่ได้ลบหรือทำความสะอาดแอตทริบิวต์ HTML ที่อาจเป็นอันตราย (เช่น onclick, onerror) หรือโค้ด JavaScript—มันแค่ escape การแสดงอักขระเท่านั้น สำหรับการป้องกัน XSS ที่แท้จริง ให้รวมการ escape กับ Content Security Policy (CSP) และการตรวจสอบอินพุต เครื่องมือสันนิษฐานว่าเป็นการเข้ารหัส UTF-8 การเข้ารหัสอื่นๆ อาจให้ผลลัพธ์ที่ไม่คาดคิด สำหรับเอกสารขนาดใหญ่มาก (>5MB) ข้อจำกัดของหน่วยความจำเบราว์เซอร์อาจทำให้ช้าลง การเข้ารหัส entity เพิ่มขนาดข้อความ ไม่เหมาะสำหรับสถานการณ์ที่มีแบนด์วิดท์จำกัด