Przejdź do treści
Konwerter godzin rozpoczęcia meczów MŚ jest dostępnySprawdź godziny rozpoczęcia w swojej strefie i dodaj przypomnienia w kalendarzu.
Logo CrateX.app

CrateX.app

HTML – kodowanie/odkodowywanie

Escapuj znaki specjalne HTML do encji albo lokalnie odkoduj nazwane, dziesiętne i szesnastkowe odwołania znakowe do pokazywania tagów i przykładów kodu.

Tekst wejściowy

Znaki

0 / 50,000
HTML – kodowanie/odkodowywanie

Szybki start

1
Wpisz HTML albo tekst encji po escapowaniu.
2
Wybierz Koduj albo Dekoduj.
3
Konwertuj w tym samym edytorze.
4
Skopiuj bieżący wynik.

Typowe scenariusze

Komentarze użytkowników

zmień tekst, jeśli chcesz, aby komentarze były wyświetlane jako zwykły tekst w kontekście treści HTML

Artykuły/blog

bezpieczne wyświetlanie przykładów kodu HTML w treści.

Posty na forum

wyświetlaj tekst wygenerowany przez użytkowników, nie pozwalając, aby tagi były renderowane jako znaczniki

Wiadomości czatu

renderuj wklejone znaczniki jako tekst, zanim dotrą do obszaru zawartości HTML

Dane formularza

sprawdź i skopiuj wartości ucieczki przed wyświetleniem przesłanego tekstu

Prezentacja kodu

wyświetlanie fragmentów HTML/JavaScript na stronie.

Zasady kodowania i encje

Encode obsługuje sześć znaków: & < > " ' /. Dla zapewnienia zgodności uwzględniono zmianę znaczenia ukośnika, ale większość kontekstów tekstowych i atrybutów HTML tego nie wymaga.
Naprawiono mapę kodowania: & staje się &amp;, < staje się &lt;, > staje się &gt;, " staje się &quot;, ' staje się &#39; i / staje się &#x2F;.
Tekst atrybutu: podwójne cudzysłowy stają się &rdquo; a pojedyncze cudzysłowy stają się `, ale atrybuty, zdarzenia i protokoły URL nadal wymagają obsługi specyficznej dla kontekstu.
Wyświetlaj znaczniki skryptu jako tekst: zakoduj <skrypt> przed umieszczeniem go w kontekście treści HTML.
Obsługa znaczników: zapisz <div> jako &lt;div&gt;, aby przeglądarka nie interpretowała tego jako HTML.

Ucieczka a granice sanityzacji

Encode używa stałej mapy składającej się z sześciu znaków. Nie zamienia każdego znaku Unicode na jednostkę nazwaną, dziesiętną lub szesnastkową.
Dekodowanie wykorzystuje reguły analizowania HTML przeglądarki dla odniesień do znaków. Zamiast sporządzać raport z walidacji, nieznane lub niekompletne jednostki mogą pozostać niezmienione.
Ucieczka pokazuje tagi jako tekst. Oczyszczanie filtruje znaczniki, atrybuty, zdarzenia i protokoły. Ta strona wykonuje tylko pierwsze zadanie.
Treść, atrybuty HTML, ciągi JavaScript, CSS, adresy URL, JSON i Markdown wymagają różnych reguł ucieczki.
Na stronie nie ma podglądu HTML, formatera, walidatora, drzewa DOM, raportu XSS, przesyłania plików ani eksportu do pobrania.
Kodowanie i dekodowanie encji HTML działa lokalnie w przeglądarce. Tekst źródłowy może pozostać jako szkic przeglądarki. Jeśli włączony jest zapisany obszar roboczy lub synchronizacja WebDAV, ten tekst może zostać zapisany także przez tę synchronizację. Encode, Decode i kopiowany tekst używają tej samej zawartości edytora; to narzędzie nie przesyła plików, nie tworzy załączników, nie eksportuje plików ani nie zapisuje osobnego stanu wyniku.

Wskazówki użycia

Kontekst: dobierz odpowiednią strategię kodowania w zależności od miejsca wstrzyknięcia (HTML treść, atrybuty, JS, CSS).
Przetwarzanie po stronie serwera: w aplikacji należy wymusić kodowanie i oczyszczanie danych wyjściowych o znaczeniu krytycznym dla bezpieczeństwa, a nie tylko w programie pomocniczym przeglądarki.
Podwójne sprawdzenie: sprawdź wynik ucieczki w kontekście docelowym przed użyciem go w środowisku produkcyjnym.
Używaj bibliotek: środowiska produkcyjne powinny opierać się na wymykaniu się frameworka i dojrzałych środkach dezynfekujących zamiast ręcznego przetwarzania typu „kopiuj-wklej”.
Kontrola podglądu: potwierdź wynik na stronie docelowej lub w środowisku testowym, ponieważ każdy kontekst wyjściowy rządzi się innymi regułami.

Ograniczenia i kompatybilność

Nie jest środkiem dezynfekującym: to narzędzie nie usuwa skryptów, atrybutów zdarzeń, niebezpiecznych protokołów, atrybutów stylu ani niechcianych tagów.
Niekompletna ochrona: sama ucieczka nie może zapobiec wszystkim XSS. W stosownych przypadkach używaj ucieczki struktury, oczyszczania, CSP i sprawdzania poprawności po stronie serwera.
Zależność od kontekstu: różne miejsca wyjścia wymagają różnych zasad kodowania (treść HTML, atrybuty, JavaScript, CSS).

Prywatność i bezpieczeństwo

Kodowanie i dekodowanie encji HTML działa lokalnie w przeglądarce. Tekst źródłowy może pozostać jako szkic przeglądarki. Jeśli włączony jest zapisany obszar roboczy lub synchronizacja WebDAV, ten tekst może zostać zapisany także przez tę synchronizację. Encode, Decode i kopiowany tekst używają tej samej zawartości edytora; to narzędzie nie przesyła plików, nie tworzy załączników, nie eksportuje plików ani nie zapisuje osobnego stanu wyniku.

Najczęstsze pytania

6

Przejdź do kolejnego kroku z tymi powiązanymi narzędziami.

Zasoby

Poradniki

O nas

O nas
Cennik

Prawne

Regulamin
Polityka prywatności
Polityka cookies

Preferencje

Zarządzaj cookies

Całe przetwarzanie narzędzi odbywa się lokalnie w Twojej przeglądarce.