Passer au contenu
Logo de CrateX.app

CrateX.app

Échappement/Déséchappement HTML

Échappement/Déséchappement HTML

Échappement/Déséchappement HTML prend en charge l’échappement et le déséchappement des entités HTML, gère les caractères spéciaux et l’affichage des balises, et convient à l’affichage d’entrées utilisateur, aux exemples de code et à la sécurité du contenu.
Échappement/Déséchappement HTML

Démarrage rapide

1
Saisissez du contenu (HTML ou texte déjà échappé) dans la zone de texte
2
Choisissez Encoder ou Décoder
3
Cliquez sur le bouton pour convertir ; le résultat s’affiche dans la même zone
4
Cliquez sur Copier pour réutiliser le résultat

Scénarios courants

Commentaires utilisateur

Échapper les commentaires soumis par les utilisateurs pour prévenir les attaques XSS

Articles de blog

Afficher des exemples de code HTML dans les articles

Messages de forum

Afficher en toute sécurité le contenu généré par les utilisateurs

Messages de chat

Empêcher la propagation de code malveillant via les fonctionnalités de chat

Données de formulaire

Traiter et afficher les données de soumission de formulaire

Affichage de code

Afficher des extraits de code HTML/JavaScript sur des pages web

Scénario complémentaire

html entities, escape html et unescape html peuvent être pris en charge dans le même flux afin de vérifier le résultat avant copie ou export.

Conseils d'utilisation

Échappement contextuel : Choisir la stratégie d'échappement appropriée selon l'emplacement de sortie
Traitement côté serveur : L'échappement de sécurité critique doit être effectué côté serveur
Double vérification : Vérifier la sortie après échappement pour s'assurer que rien n'est manqué
Utiliser des bibliothèques : Les environnements de production devraient utiliser des bibliothèques d'échappement matures plutôt qu'un traitement manuel
Vérification de l'aperçu : Aperçu de l'affichage réel dans la console du navigateur après échappement

Règles d’échappement et entités

Caractères courants : < > & " ' (le slash / n’est généralement pas nécessaire ; selon le contexte)
Format d'entité : Les caractères spéciaux sont convertis au format &entity; ou &#code;, par ex. < devient < ou <
Échappement des attributs : Les guillemets sont convertis en ", protégeant les valeurs d'attribut HTML
Protection des scripts : Les balises <script> sont automatiquement échappées pour empêcher l'injection JavaScript
Traitement des balises : <div> est converti en <div>, empêchant l'analyse par le navigateur

Limitations et compatibilité

Pas un assainisseur (sanitizer) : ne supprime pas scripts/événements/protocoles dangereux ; à combiner avec une sanitisation du contenu
Protection incomplète : L'échappement seul ne peut pas prévenir tous les XSS, combiner avec d'autres mesures de sécurité
Dépendant du contexte : Différents emplacements nécessitent différentes stratégies d'échappement (contenu HTML, attributs, JavaScript, CSS)
Pour garder la page fluide, les textes très volumineux peuvent être traités de manière simplifiée. Pensez à scinder

Confidentialité et sécurité

Tous les traitements s’effectuent localement dans le navigateur. Vous pouvez remplacer, effacer et retraiter le contenu à tout moment.

FAQ

5

Poursuivez avec ces outils associés pour l’étape suivante.