Enkode/Dekode HTML

Mulai cepat

1

Masukkan HTML atau teks entitas yang sudah di-escape.

2

Pilih Enkode atau Dekode.

3

Konversi di editor yang sama.

4

Salin hasil saat ini.

Skenario umum

Komentar pengguna

keluar dari teks ketika Anda memerlukan komentar untuk ditampilkan sebagai teks biasa di dalam konteks konten HTML

Artikel blog

menampilkan contoh kode HTML di dalam artikel.

Postingan forum

menampilkan teks buatan pengguna tanpa membiarkan tag dirender sebagai markup

Pesan obrolan

render markup yang ditempelkan sebagai teks sebelum mencapai area konten HTML

Data formulir

periksa dan salin nilai yang lolos sebelum menampilkan teks yang dikirimkan

Tampilan kode

menampilkan cuplikan kode HTML/JavaScript di halaman web.

Aturan & entitas HTML

Enkode menangani enam karakter berikut: & < > " ' /. Pelarian garis miring disertakan untuk kompatibilitas, namun sebagian besar konteks teks dan atribut HTML tidak memerlukannya.

Memperbaiki peta encode: & menjadi &, < menjadi <, > menjadi >, " menjadi ", ' menjadi ', dan / menjadi /.

Teks atribut: tanda kutip ganda menjadi " dan tanda kutip tunggal menjadi ', namun atribut, peristiwa, dan protokol URL masih memerlukan penanganan konteks spesifik.

Tampilkan tag skrip sebagai teks: encode <script> sebelum menempatkannya dalam konteks konten HTML.

Penulisan tag: tulis <div> sebagai <div> agar tidak diparse sebagai elemen HTML oleh peramban.

Batas Pelarian vs Sanitasi

Enkode menggunakan peta enam karakter yang tetap. Itu tidak mengubah setiap karakter Unicode menjadi entitas bernama, desimal, atau heksadesimal.

Decode menggunakan aturan parsing browser HTML untuk referensi karakter. Entitas yang tidak diketahui atau tidak lengkap mungkin tetap tidak berubah daripada membuat laporan validasi.

Melarikan diri menunjukkan tag sebagai teks. Sanitasi memfilter tag, atribut, peristiwa, dan protokol. Halaman ini hanya melakukan tugas pertama.

Konten HTML, atribut, string JavaScript, CSS, URL, JSON, dan Markdown semuanya memerlukan aturan pelolosan yang berbeda.

Halaman ini tidak memiliki pratinjau HTML, formatter, validator, pohon DOM, laporan XSS, unggahan file, atau ekspor unduhan.

Encoding dan decoding HTML entity berjalan secara lokal di browser. Teks sumber dapat tetap tersimpan sebagai draf browser. Jika ruang kerja tersimpan atau sinkronisasi WebDAV diaktifkan, teks tersebut juga dapat disimpan melalui sinkronisasi itu. Encode, Decode, dan teks yang disalin semuanya memakai isi editor yang sama; alat ini tidak mengunggah file, membuat lampiran, mengekspor file, atau menyimpan status hasil terpisah.

Saran penggunaan

Escape berbasis konteks: pilih strategi escape yang sesuai dengan posisi output.

Pemrosesan sisi server: pengkodean dan sanitasi keluaran yang penting bagi keamanan harus diterapkan di aplikasi Anda, tidak hanya di bantuan browser.

Periksa ulang: verifikasi hasil yang lolos dalam konteks target sebelum menggunakannya dalam produksi.

Gunakan perpustakaan: lingkungan produksi harus mengandalkan pelolosan kerangka kerja dan pembersih yang matang daripada pemrosesan salin-tempel manual.

Pemeriksaan pratinjau: konfirmasikan hasil di halaman tujuan atau lingkungan pengujian, karena setiap konteks keluaran memiliki aturan yang berbeda.

Batasan & kompatibilitas

Bukan pembersih: alat ini tidak menghapus skrip, atribut acara, protokol tidak aman, atribut gaya, atau tag yang tidak diinginkan.

Perlindungan tidak lengkap: melarikan diri saja tidak dapat mencegah semua XSS. Gunakan pelolosan kerangka kerja, sanitasi, CSP, dan validasi sisi server jika diperlukan.

Bergantung konteks: lokasi berbeda memerlukan strategi escape berbeda (konten HTML, atribut, JavaScript, CSS).

Privasi & keamanan

Encoding dan decoding HTML entity berjalan secara lokal di browser. Teks sumber dapat tetap tersimpan sebagai draf browser. Jika ruang kerja tersimpan atau sinkronisasi WebDAV diaktifkan, teks tersebut juga dapat disimpan melalui sinkronisasi itu. Encode, Decode, dan teks yang disalin semuanya memakai isi editor yang sama; alat ini tidak mengunggah file, membuat lampiran, mengekspor file, atau menyimpan status hasil terpisah.

Mulai cepat

Skenario umum

Komentar pengguna

Artikel blog

Postingan forum

Pesan obrolan

Data formulir

Tampilan kode

Aturan & entitas HTML

Batas Pelarian vs Sanitasi

Saran penggunaan

Batasan & kompatibilitas

Privasi & keamanan

Pertanyaan umum

Apa itu serangan XSS?

Kapan saya perlu melakukan HTML escape?

Apa perbedaan antara < dan &#60;?

Apakah escape HTML dapat mencegah semua injeksi JavaScript?

Mengapa kadang terlihat entitas ganda seperti &amp;lt;?

Bagaimana cara mengizinkan sebagian tag HTML yang aman?

Mulai cepat

Skenario umum

Komentar pengguna

Artikel blog

Postingan forum

Pesan obrolan

Data formulir

Tampilan kode

Aturan & entitas HTML

Batas Pelarian vs Sanitasi

Saran penggunaan

Batasan & kompatibilitas

Privasi & keamanan

Pertanyaan umum

Apa itu serangan XSS?

Kapan saya perlu melakukan HTML escape?

Apa perbedaan antara &lt; dan &amp;#60;?

Apakah escape HTML dapat mencegah semua injeksi JavaScript?

Mengapa kadang terlihat entitas ganda seperti &amp;amp;lt;?

Bagaimana cara mengizinkan sebagian tag HTML yang aman?

Alat terkait

Apa perbedaan antara < dan <?

Mengapa kadang terlihat entitas ganda seperti &lt;?