Passer au contenu
Convertisseur d'horaires de coup d'envoi de la Coupe du monde est disponibleVoyez les coups d’envoi dans votre fuseau horaire et ajoutez des rappels au calendrier.
Logo de CrateX.app

CrateX.app

Échappement/Déséchappement HTML

Échappez les caractères spéciaux HTML en entités, ou déséchappez localement les références de caractères nommées, décimales et hexadécimales pour afficher des balises et des exemples de code.

Texte d’entrée

Caractères

0 / 50,000
Échappement/Déséchappement HTML

Démarrage rapide

1
Saisissez du HTML ou du texte d’entités échappé.
2
Cliquez sur Encoder ou Décoder.
3
Convertissez dans le même éditeur.
4
Copiez le résultat actuel.

Scénarios courants

Commentaires utilisateur

échappez le texte non fiable avant de l’afficher dans une zone de contenu HTML.

Articles de blog

affichez des balises HTML et extraits de code dans un article.

Messages de forum

montrez le texte utilisateur sans laisser les balises collées se rendre comme balisage.

Messages de chat

transformez le balisage collé en texte visible avant son arrivée dans une zone HTML.

Données de formulaire

inspectez et copiez les valeurs échappées avant d’afficher le texte soumis.

Affichage de code

montrez des extraits HTML ou JavaScript sur des pages web.

Règles d’échappement et entités

L’encodage traite six caractères : & < > " ' /. L’échappement du slash est inclus pour compatibilité, mais la plupart des contextes de texte et d’attribut HTML ne l’exigent pas.
Table d’encodage fixe : & → &amp;, < → &lt;, > → &gt;, " → &quot;, ' → &#39; et / → &#x2F;.
Texte d’attribut : " devient &quot; et ' devient &#39;, mais les noms d’attribut, gestionnaires d’événement et protocoles URL exigent toujours un traitement par contexte.
Exemples de script : échappez <script> avant de le placer dans un contexte de contenu HTML afin qu’il s’affiche comme texte.
Affichage de balises : écrivez <div> sous la forme &lt;div&gt; pour que le navigateur l’affiche comme texte au lieu de l’analyser comme balise.

Limites entre échappement et sanitization

L’encodage utilise une table fixe de six caractères. Il ne transforme pas chaque caractère Unicode en entité nommée, décimale ou hexadécimale.
Le décodage suit les règles d’analyse HTML du navigateur pour les références de caractères. Les entités inconnues ou incomplètes peuvent rester inchangées au lieu de produire un rapport de validation.
L’échappement affiche les balises comme du texte. La sanitization filtre les balises, attributs, événements et protocoles. Cette page ne fait que la première tâche.
Le contenu HTML, les attributs, les chaînes JavaScript, CSS, les URL, JSON et Markdown exigent des règles d’échappement différentes.
La page ne propose pas d’aperçu HTML, de formateur, de validateur, d’arbre DOM, de rapport XSS, d’envoi de fichier ni d’export en téléchargement.
L'encodage et le décodage d'entités HTML s'exécutent localement dans le navigateur. Le texte source peut rester comme brouillon du navigateur. Si un espace de travail enregistré ou la synchronisation WebDAV est activé, ce texte peut aussi être enregistré via cette synchronisation. Encode, Decode et le texte copié utilisent tous le contenu du même éditeur ; cet outil n'envoie aucun fichier, ne crée aucune pièce jointe, n'exporte aucun fichier et n'enregistre aucun état de résultat séparé.

Conseils d’utilisation

Échappement contextuel : choisissez la règle d’échappement adaptée à l’emplacement de sortie exact.
Traitement serveur : l’encodage de sortie et la sanitization critiques pour la sécurité doivent être imposés dans l’application, pas seulement dans un assistant de navigateur.
Double vérification : contrôlez le résultat échappé dans le contexte cible avant de l’utiliser en production.
Utilisez des bibliothèques : en production, appuyez-vous sur l’échappement du framework et des sanitizers éprouvés plutôt que sur des copier-coller manuels.
Vérification d’aperçu : contrôlez le résultat sur la page cible ou dans un environnement de test, car chaque contexte de sortie a ses propres règles.

Limites et compatibilité

Ce n’est pas un sanitizer : cet outil ne supprime pas les scripts, attributs d’événement, protocoles dangereux, attributs style ni balises indésirables.
Protection incomplète : l’échappement HTML seul ne peut pas prévenir tous les XSS. Utilisez l’échappement du framework, la sanitization, CSP et la validation serveur si nécessaire.
Dépend du contexte : contenu HTML, attributs, JavaScript, CSS, URL, JSON et Markdown ont des règles d’échappement différentes.

Confidentialité et sécurité

L'encodage et le décodage d'entités HTML s'exécutent localement dans le navigateur. Le texte source peut rester comme brouillon du navigateur. Si un espace de travail enregistré ou la synchronisation WebDAV est activé, ce texte peut aussi être enregistré via cette synchronisation. Encode, Decode et le texte copié utilisent tous le contenu du même éditeur ; cet outil n'envoie aucun fichier, ne crée aucune pièce jointe, n'exporte aucun fichier et n'enregistre aucun état de résultat séparé.

FAQ

6

Poursuivez avec ces outils associés pour l’étape suivante.

Ressources

Guides

À propos

À propos de nous
Tarifs

Légal

Conditions d'utilisation
Politique de confidentialité
Politique de cookies

Préférences

Gérer les cookies

Tout le traitement des outils s'effectue localement dans votre navigateur.