tag and ensuring quotes do not break out of the JSON context. HTML entity escaping alone is not sufficient — use JSON.stringify and ensure the string is placed correctly."}}]}

Escapar / Desescapar HTML

Escapa o desescapa caracteres especiales HTML.

Cómo usar Escapar / Desescapar HTML

  1. 1Pega tu texto o HTML
  2. 2Haz clic en Escapar para codificar entidades HTML, o Desescapar para decodificarlas
  3. 3Copia o descarga el resultado

Acerca de Escapar / Desescapar HTML

HTML Escapar/Desescapar convierte los caracteres con significado especial en HTML (&, <, >, ", ') a sus equivalentes de entidades HTML, y viceversa. Un escapado correcto previene ataques XSS.

Características principales de Escapar / Desescapar HTML

  • Escapa los cinco caracteres especiales HTML: &, <, >, ", '
  • Desescapa entidades HTML a sus caracteres originales
  • Previene vulnerabilidades XSS
  • Maneja entidades nombradas (&amp;, &lt;, &gt;, &quot;, &#39;)
  • Copia con un clic
  • Funciona completamente en el navegador
  • Conversión instantánea en tiempo real
  • Útil para mostrar ejemplos de código de forma segura

Formatos compatibles

Formatos de entrada

Texto plano con caracteres especialesHTML con referencias de entidadesFragmentos de códigoContenido generado por usuarios

Formatos de salida

Texto HTML escapado (codificado en entidades)Texto plano decodificado

Escapa los cinco caracteres especiales HTML según la especificación HTML5.

Ejemplos

Escapar un fragmento de código para mostrar en HTML

Hacer que el código fuente se muestre como texto en lugar de ser analizado como etiquetas HTML.

Entrada

<div class="box">Hello & World</div>

Salida

&lt;div class=&quot;box&quot;&gt;Hello &amp; World&lt;/div&gt;

Desescapar entidades HTML de un registro de base de datos

Convertir entidades HTML almacenadas en caracteres legibles.

Entrada

It&apos;s a &quot;great&quot; day &amp; we&apos;re happy

Salida

It's a "great" day & we're happy

Casos de uso comunes

  • Insertar contenido de usuarios en plantillas HTML de forma segura para prevenir XSS
  • Mostrar ejemplos de código en blogs sin que sean analizados como HTML
  • Preparar texto para plantillas de correo HTML
  • Decodificar entidades HTML almacenadas en bases de datos
  • Convertir respuestas API con entidades a cadenas legibles
  • Escapar cadenas antes de insertarlas en innerHTML

Solución de problemas

Las entidades aparecen doblemente codificadas como &amp;amp;

Solución

El texto ya estaba escapado. Desescapa primero para obtener los caracteres originales.

No todos los caracteres especiales se escapan

Solución

Esta herramienta escapa los cinco caracteres HTML principales. Las entidades extendidas no están en el alcance.

Desescapar no convierte todas las entidades

Solución

Esta herramienta maneja las cinco entidades principales. Las entidades nombradas raras pueden no decodificarse.

Preguntas frecuentes

¿Por qué escapar HTML?

Los caracteres sin escapar como < y > se interpretan como etiquetas HTML, permitiendo ataques XSS.

¿Qué caracteres se escapan?

Los cinco caracteres especiales HTML: & → &amp;, < → &lt;, > → &gt;, " → &quot;, ' → &#39;.

¿Cuál es la diferencia entre escapado HTML y codificación URL?

El escapado HTML convierte a entidades para HTML. La codificación URL convierte a formato %XX para URLs.

¿Debo escapar o sanear el contenido de usuarios?

Para texto plano, escapar es suficiente. Para HTML permitido, usa una biblioteca de saneamiento confiable.

¿Es suficiente el escapado HTML para prevenir XSS?

Es la defensa principal, pero la estrategia depende del contexto.

¿Qué significa &amp;amp;?

Es un ampersand doblemente codificado que se muestra como &amp;. Ocurre cuando el contenido se escapa dos veces.

¿Mis datos se envían a un servidor?

No. Todo se procesa localmente en tu navegador.

¿Puedo usarlo para preparar JSON en HTML?

Para JSON en HTML, usa JSON.stringify. El escapado HTML solo no es suficiente.