Vai al contenuto
Logo CrateX.app

CrateX.app

HTML Escape/Unescape

HTML Escape/Unescape

HTML Escape/Unescape: Supporta l'escape e l'unescape delle entità HTML, gestisce caratteri speciali e tag. Rileva automaticamente i formati di entità nominate e numeriche, previene attacchi XSS, adatto per visualizzare input utente, esempi di codice e elaborazione sicura dei contenuti.
HTML Escape/Unescape

Avvio rapido

1
Inserisci nell’area di testo contenuto HTML o testo già escapato
2
Scegli la modalità "Codifica" o "Decodifica"
3
Fai clic sul pulsante corrispondente per eseguire la conversione; il risultato viene mostrato nello stesso riquadro
4
Fai clic su "Copia" per usare il risultato nel codice o nella UI

Scenari comuni

Commenti utente

fai l’escape dei commenti inviati dagli utenti per prevenire XSS.

Articoli di blog

mostra esempi di codice HTML all’interno dei contenuti.

Post su forum

visualizza in sicurezza i contenuti generati dagli utenti.

Messaggi di chat

evita la diffusione di codice malevolo attraverso il sistema di messaggistica.

Dati di form

elabora e visualizza i dati inviati tramite form.

Visualizzazione codice

mostra snippet HTML/JavaScript nelle pagine web.

Scenario aggiuntivo

entità HTML, escape HTML e unescape HTML possono essere gestiti nello stesso flusso, così da verificare il risultato prima di copiarlo o esportarlo.

Regole di escape e entità

Caratteri da escapare di solito: < > & " ' (lo slash / in genere non è obbligatorio; dipende dal contesto).
Come scrivere: < → &lt;, > → &gt;, & → &amp;, " → &quot;, ' → &#39;
Virgolette negli attributi: usa &quot; (o &#34;) per le doppie virgolette.
Mostrare i tag alla lettera: per visualizzare <script> come testo, usa &lt;script&gt;.
Gestione dei tag: scrivi <div> come &lt;div&gt; per evitare che il browser lo interpreti come tag.

Consigli d'uso

Escape dipendente dal contesto: scegli la strategia di escape adatta alla posizione di output (HTML, attributo, JS, CSS, URL, ecc.).
Elaborazione lato server: per la sicurezza critica l’escape va fatto lato server.
Doppio controllo: verifica il risultato dopo l’escape per assicurarti che nulla sia stato dimenticato.
Usa librerie collaudate: in produzione è consigliabile usare librerie mature di escape/sanitizzazione invece di soluzioni manuali.
Verifica visiva: dopo l’escape puoi usare gli strumenti del browser per vedere come il testo verrà mostrato.

Limitazioni e compatibilità

Questo strumento non è un "sanitizer": non rimuove script/eventi/protocolli pericolosi; va usato insieme a una fase di sanitizzazione basata su whitelist.
Protezione incompleta: l’escape da solo non basta a prevenire tutti gli XSS; servono anche altre misure.
Dipendente dal contesto: contesti diversi richiedono regole diverse (contenuto HTML, attributi, JavaScript, CSS).
Molto testo: input di grandi dimensioni possono rendere il browser poco reattivo; valuta di dividere il contenuto.

Gestione sessione

Il contenuto corrente può essere sostituito, svuotato ed elaborato di nuovo in qualsiasi momento prima di esportare il risultato finale.

Domande frequenti

5

Continua con questi strumenti correlati per il passaggio successivo.