Logo de CrateX.app

CrateX.app

HTML Esc./Desesc.

Herramienta de escapado/desescapado de entidades HTML para ayudar a reducir el riesgo de XSS

Instrucciones de uso

🚀 Inicio rápido

  • Introduce contenido (HTML o texto ya escapado) en el cuadro de texto
  • Elige Codificar o Decodificar
  • Haz clic en el botón para convertir; el resultado aparece en el mismo cuadro
  • Haz clic en Copiar para reutilizar el resultado

📌 Escenarios comunes

  • Comentarios de usuario: Escapar comentarios enviados por usuarios para prevenir ataques XSS
  • Publicaciones de blog: Mostrar ejemplos de código HTML en artículos
  • Publicaciones de foro: Mostrar de forma segura contenido generado por usuarios
  • Mensajes de chat: Prevenir la propagación de código malicioso a través de funciones de chat
  • Datos de formulario: Procesar y mostrar datos de envío de formularios
  • Visualización de código: Mostrar fragmentos de código HTML/JavaScript en páginas web

🧭 Consejos de uso

  • Escape contextual: Elija la estrategia de escape apropiada según la ubicación de salida
  • Procesamiento del lado del servidor: El escape de seguridad crítico debe hacerse del lado del servidor
  • Doble verificación: Verifique la salida después del escape para asegurar que nada se pase por alto
  • Use bibliotecas: Los entornos de producción deben usar bibliotecas de escape maduras en lugar de procesamiento manual
  • Verificación de vista previa: Vista previa de la visualización real en la consola del navegador después del escape

🎛️ Reglas de escape y entidades

  • Caracteres comunes: < > & " ' (la barra / generalmente no es necesaria; depende del contexto)
  • Formato de entidad: Los caracteres especiales se convierten al formato &entity; o &#code;, ej. < se convierte en < o <
  • Escape de atributos: Las comillas se convierten en ", protegiendo los valores de atributos HTML
  • Protección de scripts: Las etiquetas <script> se escapan automáticamente para prevenir inyección JavaScript
  • Procesamiento de etiquetas: <div> se convierte en <div>, evitando el análisis del navegador

⚠️ Limitaciones y compatibilidad

  • No es un sanitizador: no elimina scripts/eventos/protocolos inseguros; combínalo con sanitización de contenido
  • Protección incompleta: El escape solo no puede prevenir todos los XSS, combine con otras medidas de seguridad
  • Dependiente del contexto: Diferentes ubicaciones requieren diferentes estrategias de escape (contenido HTML, atributos, JavaScript, CSS)
  • Para mantener la página fluida, textos muy grandes pueden procesarse de forma simplificada. Considere dividir

🔒 Privacidad y seguridad

  • Todo el procesamiento se realiza en tu navegador; los datos no salen de tu dispositivo

❓ Preguntas frecuentes

¿Qué es un ataque XSS?

XSS (Cross-Site Scripting) es cuando los atacantes inyectan scripts maliciosos en páginas web para robar información del usuario o realizar operaciones maliciosas. El escape HTML es una defensa fundamental contra XSS

¿Cuándo se necesita el escape HTML?

Se necesita escape al mostrar cualquier entrada de usuario, incluidos comentarios, mensajes, datos de formulario, etc. Cualquier contenido que pueda contener etiquetas HTML necesita escape

¿Cuál es la diferencia entre < y <?

Ambos representan < (menor que). &amp;lt; es una entidad con nombre (lt = less‑than); &amp;#60;/&amp;#x3C; son entidades numéricas/hexadecimales. En HTML moderno se comportan igual: usa &amp;lt; por legibilidad; usa &amp;#60;/&amp;#x3C; cuando no se admiten entidades con nombre o para caracteres arbitrarios/entre lenguajes de marcado. Mantén el punto y coma final (p. ej., &amp;lt;); sin él puede unirse a letras siguientes, por ejemplo “&amp;notin” se interpreta como “&amp;not;”+“in” → “¬in”

¿El escape previene todas las inyecciones de JavaScript?

No. El escape HTML solo funciona en contexto HTML. Los contextos JavaScript, CSS y URL requieren diferentes métodos de escape

¿Por qué a veces veo &amp;amp;lt; doble escape?

Esto sucede cuando el contenido se escapa dos veces. Primero &lt; se convierte en &amp;lt;, luego &amp; se escapa a &amp;amp;, resultando en &amp;amp;lt;. Evite el escape repetido

¿Cómo permitir algunas etiquetas HTML seguras?

Use sanitización (no solo escape): lista de permitidos para etiquetas/atributos seguros y filtrado de protocolos. Conserve solo p/br/ul/ol/li/a/strong/em/code/pre/blockquote/h1–h3; en a solo href/title/target (protocolos http/https/mailto/tel), en img solo src/alt; elimine style y todos los eventos on*. Se recomienda DOMPurify/sanitize‑html; si es posible, sanitice en el servidor; nunca inserte contenido no confiable en innerHTML/dangerouslySetInnerHTML; para texto plano use textContent

Escapado/Desescapado de HTML - Herramienta de Entidades HTML - CrateX.app