tag and ensuring quotes do not break out of the JSON context. HTML entity escaping alone is not sufficient — use JSON.stringify and ensure the string is placed correctly."}}]}

Échappement HTML

Échappez ou désé­chappez les caractères HTML.

Outils développeur

Comment utiliser Échappement HTML

  1. 1Collez votre texte ou HTML
  2. 2Cliquez sur Échapper pour encoder les entités HTML, ou Désechapper pour les décoder
  3. 3Copiez ou téléchargez le résultat

À propos de Échappement HTML

HTML Échapper/Désechapper convertit les caractères ayant une signification spéciale en HTML (&, <, >, ", ') en leurs équivalents entités HTML, et vice versa. Un échappement correct prévient les attaques XSS.

Fonctionnalités clés de Échappement HTML

  • Échappe les cinq caractères spéciaux HTML : &, <, >, ", '
  • Désechappe les entités HTML vers leurs caractères originaux
  • Prévient les vulnérabilités XSS
  • Gère les entités nommées (&amp;, &lt;, &gt;, &quot;, &#39;)
  • Copie en un clic
  • Fonctionne entièrement dans le navigateur
  • Conversion instantanée en temps réel
  • Utile pour afficher des exemples de code en toute sécurité

Formats supportés

Formats d'entrée

Texte brut avec caractères spéciauxHTML avec références d'entitésExtraits de codeContenu généré par l'utilisateur

Formats de sortie

Texte HTML échappé (encodé en entités)Texte brut décodé

Échappe les cinq caractères spéciaux HTML selon la spécification HTML5.

Exemples

Échapper un extrait de code pour l'affichage HTML

Rendre le code source visible en texte plutôt qu'analysé comme des balises HTML.

Entrée

<div class="box">Hello & World</div>

Sortie

&lt;div class=&quot;box&quot;&gt;Hello &amp; World&lt;/div&gt;

Désechapper des entités HTML depuis une base de données

Convertir les entités HTML stockées en caractères lisibles.

Entrée

It&apos;s a &quot;great&quot; day &amp; we&apos;re happy

Sortie

It's a "great" day & we're happy

Cas d'utilisation courants

  • Insérer en toute sécurité du contenu utilisateur dans des templates HTML pour prévenir XSS
  • Afficher des exemples de code sans qu'ils soient analysés comme du HTML
  • Préparer du texte pour des templates d'e-mail HTML
  • Décoder les entités HTML stockées en base de données
  • Convertir les réponses API contenant des entités en texte lisible
  • Échapper les chaînes avant de les insérer dans innerHTML

Dépannage

Les entités apparaissent doublement encodées comme &amp;amp;

Solution

Le texte était déjà échappé. Désechappez d'abord pour obtenir les caractères originaux.

Tous les caractères spéciaux ne sont pas échappés

Solution

Cet outil échappe les cinq caractères HTML principaux. Les entités étendues ne sont pas concernées.

Le désechappement ne convertit pas toutes les entités

Solution

Cet outil gère les cinq entités principales. Les entités nommées rares peuvent ne pas être décodées.

Questions fréquemment posées

Pourquoi échapper le HTML ?

Les caractères non échappés comme < et > sont interprétés comme des balises HTML, permettant des attaques XSS.

Quels caractères sont échappés ?

Les cinq caractères spéciaux HTML : & → &amp;, < → &lt;, > → &gt;, " → &quot;, ' → &#39;.

Quelle est la différence entre l'échappement HTML et l'encodage URL ?

L'échappement HTML convertit en entités pour le HTML. L'encodage URL convertit en format %XX pour les URLs.

Dois-je échapper ou assainir le contenu utilisateur ?

Pour afficher du texte brut, l'échappement suffit. Pour autoriser certains tags HTML, utilisez une bibliothèque de sanitisation.

L'échappement HTML suffit-il contre XSS ?

C'est la défense principale pour l'insertion de texte dans le HTML, mais la stratégie varie selon le contexte.

Que signifie &amp;amp; ?

C'est un esperluette doublement encodé qui s'affiche comme &amp;. Cela arrive quand le contenu est échappé deux fois.

Mes données sont-elles envoyées à un serveur ?

Non. Tout est effectué localement dans votre navigateur.

Puis-je l'utiliser pour préparer du JSON dans du HTML ?

Pour du JSON dans HTML, utilisez JSON.stringify. L'échappement HTML seul est insuffisant.