CrateX.app

HTML maskieren/demaskieren

HTML maskieren/demaskieren unterstützt das Escapen und Unescapen von HTML-Entities, verarbeitet Sonderzeichen und Tag-Darstellung und eignet sich für Benutzereingaben, Codebeispiele und sichere Inhaltsdarstellung.

Eingabetext

Zeichen

0 / 500,000

Schnellstart

Geben Sie Inhalt (HTML oder bereits escapten Text) in das Textfeld ein

Wählen Sie Kodieren oder Dekodieren

Klicken Sie auf die Schaltfläche – das Ergebnis erscheint im selben Textfeld

Klicken Sie auf Kopieren, um das Ergebnis zu übernehmen

Häufige Anwendungsfälle

Benutzerkommentare

Escapen von benutzergenerierten Kommentaren zur Verhinderung von XSS-Angriffen

Blog-Beiträge

Anzeige von HTML-Code-Beispielen in Artikeln

Forum-Beiträge

Sichere Anzeige von benutzergenerierten Inhalten

Chat-Nachrichten

Verhinderung der Verbreitung von bösartigem Code über Chat-Funktionen

Formulardaten

Verarbeitung und Anzeige von Formularübermittlungsdaten

Code-Anzeige

Anzeige von HTML/JavaScript-Code-Snippets auf Webseiten

Nutzungstipps

Kontextbewusstes Escaping: Wählen Sie die geeignete Escape-Strategie basierend auf dem Ausgabeort

Serverseitige Verarbeitung: Kritisches Sicherheits-Escaping sollte serverseitig erfolgen

Doppelte Überprüfung: Überprüfen Sie die Ausgabe nach dem Escaping, um sicherzustellen, dass nichts übersehen wurde

Bibliotheken verwenden: Produktionsumgebungen sollten ausgereifte Escape-Bibliotheken anstelle manueller Verarbeitung verwenden

Vorschau-Prüfung: Vorschau der tatsächlichen Anzeige in der Browser-Konsole nach dem Escaping

Escape‑Regeln und Entitäten

Häufige Zeichen: < > & " ' (Schrägstrich / ist i.d.R. nicht erforderlich; kontextabhängig)

Entity-Format: Sonderzeichen werden in das Format &entity; oder &#code; konvertiert, z.B. < wird zu &lt; oder &#60;

Attribut-Escape: Anführungszeichen werden zu &quot; konvertiert, schützt HTML-Attributwerte

Skript-Schutz: <script>-Tags werden automatisch escaped, um JavaScript-Injection zu verhindern

Schreibe <div> als <div>, damit der Browser es nicht als Tag interpretiert

Einschränkungen und Kompatibilität

Kein Sanitizer: entfernt keine Skripte/Ereignisse/unsicheren Protokolle; mit Inhalts‑Sanitization kombinieren

Unvollständiger Schutz: Escaping allein kann nicht alle XSS verhindern, kombinieren Sie mit anderen Sicherheitsmaßnahmen

Kontextabhängig: Verschiedene Orte erfordern unterschiedliche Escape-Strategien (HTML-Inhalt, Attribute, JavaScript, CSS)

Um die Seite flüssig zu halten, werden sehr große Texte ggf. vereinfacht verarbeitet. Bitte ggf. in Teile aufteilen

Datenschutz & Sicherheit

Alle Verarbeitungen laufen lokal im Browser. Aktuelle Inhalte lassen sich jederzeit ersetzen, leeren und erneut verarbeiten.

Häufige Fragen

Fahren Sie mit diesen verwandten Tools im nächsten Schritt fort.

HTML maskieren/demaskieren

Schnellstart

Häufige Anwendungsfälle

Benutzerkommentare

Blog-Beiträge

Forum-Beiträge

Chat-Nachrichten

Formulardaten

Code-Anzeige

Nutzungstipps

Escape‑Regeln und Entitäten

Einschränkungen und Kompatibilität

Datenschutz & Sicherheit

Häufige Fragen

Was ist ein XSS-Angriff?

Wann ist HTML-Escaping erforderlich?

Was ist der Unterschied zwischen &lt; und &#60;?

Verhindert Escaping alle JavaScript-Injections?

Warum sehe ich manchmal &amp;lt; doppeltes Escaping?

Wie kann ich einige sichere HTML-Tags zulassen?

Schnellstart

Häufige Anwendungsfälle

Benutzerkommentare

Blog-Beiträge

Forum-Beiträge

Chat-Nachrichten

Formulardaten

Code-Anzeige

Nutzungstipps

Escape‑Regeln und Entitäten

Einschränkungen und Kompatibilität

Datenschutz & Sicherheit

Häufige Fragen

Was ist ein XSS-Angriff?

Wann ist HTML-Escaping erforderlich?

Was ist der Unterschied zwischen &amp;lt; und &amp;#60;?

Verhindert Escaping alle JavaScript-Injections?

Warum sehe ich manchmal &amp;amp;lt; doppeltes Escaping?

Wie kann ich einige sichere HTML-Tags zulassen?

Verwandte Tools

Was ist der Unterschied zwischen < und <?

Warum sehe ich manchmal &lt; doppeltes Escaping?