Escapar / Desescapar HTML
Escapa o desescapa caracteres especiales HTML.
Cómo usar Escapar / Desescapar HTML
- 1Pega tu texto o HTML
- 2Haz clic en Escapar para codificar entidades HTML, o Desescapar para decodificarlas
- 3Copia o descarga el resultado
Acerca de Escapar / Desescapar HTML
HTML Escapar/Desescapar convierte los caracteres con significado especial en HTML (&, <, >, ", ') a sus equivalentes de entidades HTML, y viceversa. Un escapado correcto previene ataques XSS.
Características principales de Escapar / Desescapar HTML
- Escapa los cinco caracteres especiales HTML: &, <, >, ", '
- Desescapa entidades HTML a sus caracteres originales
- Previene vulnerabilidades XSS
- Maneja entidades nombradas (&, <, >, ", ')
- Copia con un clic
- Funciona completamente en el navegador
- Conversión instantánea en tiempo real
- Útil para mostrar ejemplos de código de forma segura
Formatos compatibles
Formatos de entrada
Formatos de salida
Escapa los cinco caracteres especiales HTML según la especificación HTML5.
Ejemplos
Escapar un fragmento de código para mostrar en HTML
Hacer que el código fuente se muestre como texto en lugar de ser analizado como etiquetas HTML.
Entrada
<div class="box">Hello & World</div>
Salida
<div class="box">Hello & World</div>
Desescapar entidades HTML de un registro de base de datos
Convertir entidades HTML almacenadas en caracteres legibles.
Entrada
It's a "great" day & we're happy
Salida
It's a "great" day & we're happy
Casos de uso comunes
- Insertar contenido de usuarios en plantillas HTML de forma segura para prevenir XSS
- Mostrar ejemplos de código en blogs sin que sean analizados como HTML
- Preparar texto para plantillas de correo HTML
- Decodificar entidades HTML almacenadas en bases de datos
- Convertir respuestas API con entidades a cadenas legibles
- Escapar cadenas antes de insertarlas en innerHTML
Solución de problemas
Las entidades aparecen doblemente codificadas como &amp;
Solución
El texto ya estaba escapado. Desescapa primero para obtener los caracteres originales.
No todos los caracteres especiales se escapan
Solución
Esta herramienta escapa los cinco caracteres HTML principales. Las entidades extendidas no están en el alcance.
Desescapar no convierte todas las entidades
Solución
Esta herramienta maneja las cinco entidades principales. Las entidades nombradas raras pueden no decodificarse.
Preguntas frecuentes
¿Por qué escapar HTML?
Los caracteres sin escapar como < y > se interpretan como etiquetas HTML, permitiendo ataques XSS.
¿Qué caracteres se escapan?
Los cinco caracteres especiales HTML: & → &, < → <, > → >, " → ", ' → '.
¿Cuál es la diferencia entre escapado HTML y codificación URL?
El escapado HTML convierte a entidades para HTML. La codificación URL convierte a formato %XX para URLs.
¿Debo escapar o sanear el contenido de usuarios?
Para texto plano, escapar es suficiente. Para HTML permitido, usa una biblioteca de saneamiento confiable.
¿Es suficiente el escapado HTML para prevenir XSS?
Es la defensa principal, pero la estrategia depende del contexto.
¿Qué significa &amp;?
Es un ampersand doblemente codificado que se muestra como &. Ocurre cuando el contenido se escapa dos veces.
¿Mis datos se envían a un servidor?
No. Todo se procesa localmente en tu navegador.
¿Puedo usarlo para preparar JSON en HTML?
Para JSON en HTML, usa JSON.stringify. El escapado HTML solo no es suficiente.