Saltar al contenido
Conversor de horarios de inicio del Mundial ya está disponibleConsulta los inicios en tu zona horaria y añade recordatorios al calendario.
Logo de CrateX.app

CrateX.app

Escapado/Desescapado de HTML

Escapa caracteres especiales HTML a entidades, o desescapa localmente referencias de caracteres con nombre, decimales y hexadecimales para mostrar etiquetas y ejemplos de código.

Texto de entrada

Caracteres

0 / 50,000
Escapado/Desescapado de HTML

Inicio rápido

1
Ingresa HTML o texto de entidades escapado.
2
Haz clic en Codificar o Decodificar.
3
Convierte en el mismo editor.
4
Copia el resultado actual.

Escenarios comunes

Comentarios de usuario

escapa texto no confiable antes de mostrarlo dentro de un área de contenido HTML.

Publicaciones de blog

muestra etiquetas HTML y fragmentos de código en artículos.

Publicaciones de foro

muestra texto de usuarios sin permitir que las etiquetas pegadas se rendericen como marcado.

Mensajes de chat

convierte marcado pegado en texto visible antes de que llegue a un área HTML.

Datos de formulario

revisa y copia valores escapados antes de mostrar el texto enviado.

Visualización de código

muestra fragmentos HTML o JavaScript en páginas web.

Reglas de escape y entidades

La codificación procesa seis caracteres: & < > " ' /. El escape de la barra diagonal se incluye por compatibilidad, pero la mayoría de los contextos de texto y atributo HTML no lo requieren.
Mapa de codificación fijo: & → &amp;, < → &lt;, > → &gt;, " → &quot;, ' → &#39; y / → &#x2F;.
Texto de atributo: " se convierte en &quot; y ' en &#39;, pero los nombres de atributo, manejadores de eventos y protocolos URL siguen requiriendo manejo específico del contexto.
Ejemplos de script: escapa <script> antes de colocarlo en un contexto de contenido HTML para mostrarlo como texto.
Visualización de etiquetas: escribe <div> como &lt;div&gt; para que el navegador lo muestre como texto en lugar de analizarlo como marcado.

Límites entre escape y sanitization

La codificación usa un mapa fijo de seis caracteres. No convierte cada carácter Unicode en una entidad con nombre, decimal o hexadecimal.
La decodificación usa las reglas de análisis HTML del navegador para referencias de caracteres. Las entidades desconocidas o incompletas pueden quedar sin cambios en lugar de producir un reporte de validación.
Escapar muestra las etiquetas como texto. Sanitization filtra etiquetas, atributos, eventos y protocolos. Esta página solo hace la primera tarea.
El contenido HTML, los atributos, las cadenas JavaScript, CSS, las URL, JSON y Markdown necesitan reglas de escape distintas.
La página no incluye vista previa HTML, formateador, validador, árbol DOM, reporte XSS, carga de archivos ni exportación de descarga.
La codificación y decodificación de entidades HTML se ejecutan localmente en el navegador. El texto fuente puede quedar como borrador del navegador. Si hay un espacio de trabajo guardado o la sincronización WebDAV está activada, ese texto también puede guardarse mediante esa sincronización. Encode, Decode y el texto copiado usan el mismo contenido del editor; esta herramienta no sube archivos, no crea adjuntos, no exporta archivos ni guarda un estado de resultado separado.

Consejos de uso

Escape contextual: elige la regla de escape según la ubicación exacta de salida.
Procesamiento del lado del servidor: la codificación de salida y la sanitization críticas para seguridad deben aplicarse en la app, no solo en una ayuda del navegador.
Doble verificación: comprueba el resultado escapado en el contexto de destino antes de usarlo en producción.
Usa bibliotecas: en producción conviene depender del escape del framework y sanitizers maduros en lugar de copiar y pegar manualmente.
Verificación previa: comprueba el resultado en la página de destino o en un entorno de prueba porque cada contexto de salida tiene reglas distintas.

Limitaciones y compatibilidad

No es un sanitizer: esta herramienta no elimina scripts, atributos de evento, protocolos inseguros, atributos style ni etiquetas no deseadas.
Protección incompleta: el escape HTML por sí solo no previene todos los XSS. Usa escape del framework, sanitization, CSP y validación del servidor cuando corresponda.
Depende del contexto: contenido HTML, atributos, JavaScript, CSS, URL, JSON y Markdown usan reglas de escape distintas.

Privacidad y seguridad

La codificación y decodificación de entidades HTML se ejecutan localmente en el navegador. El texto fuente puede quedar como borrador del navegador. Si hay un espacio de trabajo guardado o la sincronización WebDAV está activada, ese texto también puede guardarse mediante esa sincronización. Encode, Decode y el texto copiado usan el mismo contenido del editor; esta herramienta no sube archivos, no crea adjuntos, no exporta archivos ni guarda un estado de resultado separado.

Preguntas frecuentes

6

Continúa con estas herramientas relacionadas para el siguiente paso.

Recursos

Guías

Acerca de

Acerca de nosotros
Precios

Legal

Términos de uso
Política de privacidad
Política de cookies

Preferencias

Gestionar cookies

Todo el procesamiento de las herramientas ocurre localmente en tu navegador.