Échappement HTML
Échappez ou déséchappez les caractères HTML.
Comment utiliser Échappement HTML
- 1Collez votre texte ou HTML
- 2Cliquez sur Échapper pour encoder les entités HTML, ou Désechapper pour les décoder
- 3Copiez ou téléchargez le résultat
À propos de Échappement HTML
HTML Échapper/Désechapper convertit les caractères ayant une signification spéciale en HTML (&, <, >, ", ') en leurs équivalents entités HTML, et vice versa. Un échappement correct prévient les attaques XSS.
Fonctionnalités clés de Échappement HTML
- Échappe les cinq caractères spéciaux HTML : &, <, >, ", '
- Désechappe les entités HTML vers leurs caractères originaux
- Prévient les vulnérabilités XSS
- Gère les entités nommées (&, <, >, ", ')
- Copie en un clic
- Fonctionne entièrement dans le navigateur
- Conversion instantanée en temps réel
- Utile pour afficher des exemples de code en toute sécurité
Formats supportés
Formats d'entrée
Formats de sortie
Échappe les cinq caractères spéciaux HTML selon la spécification HTML5.
Exemples
Échapper un extrait de code pour l'affichage HTML
Rendre le code source visible en texte plutôt qu'analysé comme des balises HTML.
Entrée
<div class="box">Hello & World</div>
Sortie
<div class="box">Hello & World</div>
Désechapper des entités HTML depuis une base de données
Convertir les entités HTML stockées en caractères lisibles.
Entrée
It's a "great" day & we're happy
Sortie
It's a "great" day & we're happy
Cas d'utilisation courants
- Insérer en toute sécurité du contenu utilisateur dans des templates HTML pour prévenir XSS
- Afficher des exemples de code sans qu'ils soient analysés comme du HTML
- Préparer du texte pour des templates d'e-mail HTML
- Décoder les entités HTML stockées en base de données
- Convertir les réponses API contenant des entités en texte lisible
- Échapper les chaînes avant de les insérer dans innerHTML
Dépannage
Les entités apparaissent doublement encodées comme &amp;
Solution
Le texte était déjà échappé. Désechappez d'abord pour obtenir les caractères originaux.
Tous les caractères spéciaux ne sont pas échappés
Solution
Cet outil échappe les cinq caractères HTML principaux. Les entités étendues ne sont pas concernées.
Le désechappement ne convertit pas toutes les entités
Solution
Cet outil gère les cinq entités principales. Les entités nommées rares peuvent ne pas être décodées.
Questions fréquemment posées
Pourquoi échapper le HTML ?
Les caractères non échappés comme < et > sont interprétés comme des balises HTML, permettant des attaques XSS.
Quels caractères sont échappés ?
Les cinq caractères spéciaux HTML : & → &, < → <, > → >, " → ", ' → '.
Quelle est la différence entre l'échappement HTML et l'encodage URL ?
L'échappement HTML convertit en entités pour le HTML. L'encodage URL convertit en format %XX pour les URLs.
Dois-je échapper ou assainir le contenu utilisateur ?
Pour afficher du texte brut, l'échappement suffit. Pour autoriser certains tags HTML, utilisez une bibliothèque de sanitisation.
L'échappement HTML suffit-il contre XSS ?
C'est la défense principale pour l'insertion de texte dans le HTML, mais la stratégie varie selon le contexte.
Que signifie &amp; ?
C'est un esperluette doublement encodé qui s'affiche comme &. Cela arrive quand le contenu est échappé deux fois.
Mes données sont-elles envoyées à un serveur ?
Non. Tout est effectué localement dans votre navigateur.
Puis-je l'utiliser pour préparer du JSON dans du HTML ?
Pour du JSON dans HTML, utilisez JSON.stringify. L'échappement HTML seul est insuffisant.