HTML escapen/unescapen

Verwenden Sie HTML-Escape, wenn nicht vertrauenswürdiger Text in einen HTML-Inhalts- oder Attributkontext eingefügt wird. Bevorzugen Sie textContent oder das Standard-Escapezeichen Ihres Frameworks für einfachen Text und verwenden Sie unterschiedliche Escapezeichen für JavaScript-, CSS-, URL- oder JSON-Kontexte.

Beide stehen für < (Kleiner‑als‑Zeichen). &amp;lt; ist eine benannte Entität (lt = less‑than), &amp;#60;/&amp;#x3C; sind numerische/hexadezimale Entitäten. In modernem HTML verhalten sie sich gleich: &amp;lt; ist lesbarer; &amp;#60;/&amp;#x3C; nutzen, wenn benannte Entitäten nicht unterstützt werden oder für beliebige Zeichen/über Markup‑Sprachen hinweg. Das abschließende Semikolon beibehalten (z. B. &amp;lt;); ohne Semikolon kann der Parser mit folgenden Buchstaben „verkleben“, z. B. wird „&amp;notin“ zu „&amp;not;“+„in“ → „¬in“

Nein. HTML-Escape funktioniert nur für HTML-Entitätskontexte. JavaScript-Strings, CSS, URLs, JSON und Rich HTML erfordern alle eine unterschiedliche Handhabung.

Dies geschieht, wenn Inhalt zweimal escaped wird. Zuerst wird &lt; zu &amp;lt;, dann wird &amp; zu &amp;amp; escaped, was zu &amp;amp;lt; führt. Vermeiden Sie wiederholtes Escaping

Verwenden Sie Sanitization, nicht dieses Escape-Tool. Ein Sanitizer kann sichere Tags und Attribute per Allowlist zulassen, Protokolle filtern und Ereignisse oder Styles entfernen. Verwenden Sie Bibliotheken wie DOMPurify oder sanitize-html, bereinigen Sie nach Möglichkeit serverseitig und nutzen Sie textContent für einfachen Text.