Démarrage rapide
-
Encoder ou décoder
Encoder pour la sortie HTML; décoder pour lire des chaînes d'entité.
-
Coller le contenu
Nommé et &#numerique; entités soutenues.
Escape <, >, &, guichets aux entités HTML ; ou décoder les entités. Commun pour les modèles et la sortie XSS-safe.
Read the full guide: Markdown, HTML et texte brut : conversion et sécurité →
Confidentialité : traitée localement, jamais téléchargée.
↓ Collez dans la zone d'entrée ci-dessous pour voir les résultats instantanément
编码将 <、>、& 等转为实体;解码还原为可读字符。
<p>Towalles & "tools"</p>
已将特殊字符转为 HTML 实体,可安全嵌入页面属性或文本节点。
Escape <, >, &, guichets aux entités HTML ; ou décoder les entités. Commun pour les modèles et la sortie XSS-safe.
Encoder ou décoder
Encoder pour la sortie HTML; décoder pour lire des chaînes d'entité.
Coller le contenu
Nommé et &#numerique; entités soutenues.
Éfuir les entrées des utilisateurs dans les attributs, les modèles de courriel, le débogage des extraits HTML des API.
Lorsque vous développez des pages Web, vous devrez peut-être afficher des balises HTML en tant que contenu texte plutôt que de les analyser. Par exemple, pour afficher la chaîne "<div>" sur une page, l'écriture directement serait analysée par le navigateur comme une balise. Encoder en '< div> assure qu'il s'affiche correctement.
Un autre scénario commun est la gestion des entrées des utilisateurs. Pour éviter les attaques XSS, les caractères spéciaux du contenu soumis par l'utilisateur doivent être convertis en entités. Par exemple, l'encodage '<script>' comme '< script> avant le stockage assure que le code malveillant ne s'exécutera pas même si rendu.
L'encodage et le décodage sont bidirectionnels, mais l'ordre compte. L'encodage imbriqué peut produire des résultats tels que '& lt;' qui ne peut pas être analysé directement. Il est recommandé de stocker les données brutes non codées et d'encoder uniquement lors de l'affichage pour éviter la confusion de plusieurs encodages.
Tous les caractères n'ont pas besoin d'encodage. Le texte ordinaire (comme le chinois, les lettres, les chiffres) ne nécessite aucun traitement. Concentrez-vous uniquement sur les cinq caractères spéciaux : < > & " '. Le surcodage, bien qu'inoffensif, augmente la taille des données et devrait être évité dans les scénarios sensibles aux performances.
Input
<div>"hi"</div>
Output
<div>"hi"</div>
Non. Les entités HTML sont pour le balisage; L'encodage URL est pour les adresses et les chaînes de requête.
Un seul caractère ajoute généralement 3 à 6 octets lorsqu'il est codé (par exemple, < → <). Pour le texte avec de nombreux symboles spéciaux, la taille peut augmenter de 4 à 5x. Mais dans le trafic web moderne, cela est négligeable à moins de traiter des millions de caractères.