Vai al contenuto
Logo CrateX.app

CrateX.app

HTML Escape/Unescape

HTML Escape/Unescape

HTML Escape/Unescape supporta l’escape e l’unescape delle entità HTML, gestisce caratteri speciali e visualizzazione dei tag ed è adatto a input utente, esempi di codice e sicurezza dei contenuti.
HTML Escape/Unescape

Avvio rapido

1
Inserisci nell’area di testo contenuto HTML o testo già escapato
2
Scegli la modalità "Codifica" o "Decodifica"
3
Fai clic sul pulsante corrispondente per eseguire la conversione; il risultato viene mostrato nello stesso riquadro
4
Fai clic su "Copia" per usare il risultato nel codice o nella UI

Scenari comuni

Commenti utente

fai l’escape dei commenti inviati dagli utenti per prevenire XSS.

Articoli di blog

mostra esempi di codice HTML all’interno dei contenuti.

Post su forum

visualizza in sicurezza i contenuti generati dagli utenti.

Messaggi di chat

evita la diffusione di codice malevolo attraverso il sistema di messaggistica.

Dati di form

elabora e visualizza i dati inviati tramite form.

Visualizzazione codice

mostra snippet HTML/JavaScript nelle pagine web.

Scenario aggiuntivo

entità HTML, escape HTML e unescape HTML possono essere gestiti nello stesso flusso, così da verificare il risultato prima di copiarlo o esportarlo.

Regole di escape e entità

Caratteri da escapare di solito: < > & " ' (lo slash / in genere non è obbligatorio; dipende dal contesto).
Come scrivere: < → &lt;, > → &gt;, & → &amp;, " → &quot;, ' → &#39;
Virgolette negli attributi: usa &quot; (o &#34;) per le doppie virgolette.
Mostrare i tag alla lettera: per visualizzare <script> come testo, usa &lt;script&gt;.
Gestione dei tag: scrivi <div> come &lt;div&gt; per evitare che il browser lo interpreti come tag.

Consigli d'uso

Escape dipendente dal contesto: scegli la strategia di escape adatta alla posizione di output (HTML, attributo, JS, CSS, URL, ecc.).
Elaborazione lato server: per la sicurezza critica l’escape va fatto lato server.
Doppio controllo: verifica il risultato dopo l’escape per assicurarti che nulla sia stato dimenticato.
Usa librerie collaudate: in produzione è consigliabile usare librerie mature di escape/sanitizzazione invece di soluzioni manuali.
Verifica visiva: dopo l’escape puoi usare gli strumenti del browser per vedere come il testo verrà mostrato.

Limitazioni e compatibilità

Questo strumento non è un "sanitizer": non rimuove script/eventi/protocolli pericolosi; va usato insieme a una fase di sanitizzazione basata su whitelist.
Protezione incompleta: l’escape da solo non basta a prevenire tutti gli XSS; servono anche altre misure.
Dipendente dal contesto: contesti diversi richiedono regole diverse (contenuto HTML, attributi, JavaScript, CSS).
Molto testo: input di grandi dimensioni possono rendere il browser poco reattivo; valuta di dividere il contenuto.

Privacy e sicurezza

Tutta l’elaborazione avviene localmente nel browser. Puoi sostituire, svuotare e rielaborare il contenuto in qualsiasi momento.

Domande frequenti

5

Continua con questi strumenti correlati per il passaggio successivo.