ترميز/فك ترميز HTML
حوّل أحرف HTML الخاصة إلى كيانات، أو فك ترميز المراجع المسماة والعشرية والسداسية محليا لعرض الوسوم وأمثلة الكود.
النص المدخل
الأحرف
0 / 50,000
بداية سريعة
سيناريوهات شائعة
تعليقات المستخدم
قم بإلغاء النص عندما تحتاج إلى عرض التعليقات كنص عادي داخل سياق محتوى HTML
منشورات المدونة
عرض أمثلة رمز HTML في المقالات
منشورات المنتدى
إظهار النص الذي أنشأه المستخدم دون السماح بعرض العلامات كتوصيف
رسائل الدردشة
عرض العلامات الملصقة كنص قبل أن تصل إلى منطقة محتوى HTML
بيانات النموذج
افحص القيم التي تم تجاوزها وانسخها قبل عرض النص المقدم
عرض الكود
عرض مقتطفات كود HTML/JavaScript على صفحات الويب
قواعد الهروب والكيانات
الهروب مقابل حدود التعقيم
نصائح الاستخدام
القيود والتوافقية
الخصوصية والأمان
أسئلة شائعة
يحدث XSS (البرمجة النصية عبر المواقع) عندما يتم تفسير المحتوى غير الموثوق به على أنه برنامج نصي أو ترميز في الصفحة. يساعد الهروب HTML في سياقات محتوى HTML، ولكنه جزء واحد فقط من منع XSS.
استخدم HTML للهروب عند إدراج نص غير موثوق به في محتوى HTML أو سياق السمة. قم بتفضيل textContent أو الهروب الافتراضي لإطار العمل الخاص بك للنص العادي، واستخدم الهروب المختلف لسياقات JavaScript، أو CSS، أو URL، أو JSON.
كلاهما يمثل < (أصغر من). &lt; كيان مُسمّى (lt = less‑than)، و&#60;/&#x3C; كيانات رقمية/ست عشرية. في HTML الحديث سلوكهما متماثل: استخدم &lt; لسهولة القراءة؛ واستخدم &#60;/&#x3C; عندما لا تُدعم الكيانات المُسمّاة أو لتمثيل أي محارف/عبر لغات ترميز أخرى. احرص على إبقاء الفاصلة المنقوطة في النهاية (مثل &lt;)؛ بدونها قد يلتصق بما يلي ويُفسَّر خطأً؛ مثلًا “&notin” تُفسَّر كـ “&not;”+“in” → “¬in”
لا، فهروب HTML يعمل فقط مع سياقات كيان HTML. تتطلب سلاسل JavaScript و CSS وعناوين URL و JSON و HTML معالجة مختلفة.
يحدث هذا عندما يتم تجاوز المحتوى مرتين. أولاً يصبح < إلى &lt;، ثم يتم تجاوز & إلى &amp;، مما ينتج عنه &amp;lt;. تجنب التجاوز المتكرر
استخدم التعقيم، وليس أداة الهروب هذه. يمكن للمطهر أن يسمح بإدراج العلامات والسمات الآمنة، وتصفية البروتوكولات، وإزالة الأحداث أو الأنماط. استخدم مكتبات مثل DOM Purify أو sanitize-html، وقم بالتعقيم على الخادم عندما يكون ذلك ممكنًا، واستخدم textContent للنص العادي.