HTML Escape/Desescape

Início rápido

1

Insira HTML ou texto de entidades escapado.

2

Escolha Codificar ou Decodificar.

3

Converta no mesmo editor.

4

Copie o resultado atual.

Cenários comuns

Comentários do usuário

escape do texto quando precisar que os comentários sejam exibidos como texto simples dentro de um contexto de conteúdo HTML

Posts de blog

Exibir exemplos de código HTML em artigos

Postagens no fórum

mostram texto gerado pelo usuário sem permitir que tags sejam renderizadas como marcação

Mensagens de bate-papo

renderize a marcação colada como texto antes de chegar a uma área de conteúdo HTML

Dados do formulário

inspecione e copie os valores de escape antes de exibir o texto enviado

Exibição de código

Mostrar trechos de código HTML/JavaScript em páginas web

Regras de escape e entidades

Encode lida com estes seis caracteres: & < > " ' /. O escape de barra está incluído para compatibilidade, mas a maioria dos contextos de texto e atributos HTML não exigem isso.

Mapa de codificação fixo: & torna-se &, < torna-se <, > torna-se >, " torna-se ", ' torna-se ' e / torna-se /.

Texto do atributo: as aspas duplas tornam-se " e aspas simples tornam-se ', mas atributos, eventos e protocolos URL ainda precisam de tratamento específico do contexto.

Exiba tags de script como texto: encode <script> antes de colocá-lo em um contexto de conteúdo HTML.

Processamento de tags: <div> é convertido para &lt;div&gt;, evitando análise do navegador

Limites de Fuga vs Sanitização

Encode usa um mapa fixo de seis caracteres. Ele não transforma cada caractere Unicode em uma entidade nomeada, decimal ou hexadecimal.

Decode usa regras de análise HTML do navegador para referências de caracteres. Entidades desconhecidas ou incompletas podem permanecer inalteradas em vez de produzirem um relatório de validação.

O escape mostra tags como texto. A sanitização filtra tags, atributos, eventos e protocolos. Esta página executa apenas a primeira tarefa.

Conteúdo HTML, atributos, strings JavaScript, CSS, URLs, JSON e Markdown precisam de regras de escape diferentes.

A página não possui visualização, formatador, validador, árvore DOM, relatório XSS, upload de arquivo ou exportação de download HTML.

A codificação e decodificação de entidades HTML rodam localmente no navegador. O texto de origem pode permanecer como rascunho do navegador. Se um espaço de trabalho salvo ou a sincronização WebDAV estiver ativa, esse texto também poderá ser salvo por essa sincronização. Encode, Decode e o texto copiado usam o mesmo conteúdo do editor; esta ferramenta não envia arquivos, não cria anexos, não exporta arquivos nem salva um estado de resultado separado.

Dicas de uso

Escape contextual: Escolha a estratégia de escape apropriada com base no local de saída

Processamento no lado do servidor: codificação e sanitização de saída crítica para a segurança devem ser aplicadas em seu aplicativo, não apenas em um auxiliar de navegador.

Verificação dupla: verifique o resultado escapado no contexto de destino antes de usá-lo na produção.

Use bibliotecas: os ambientes de produção devem contar com escape de estrutura e sanitizadores maduros, em vez do processamento manual de copiar e colar.

Verificação de visualização: confirme o resultado na página de destino ou ambiente de teste, pois cada contexto de saída possui regras diferentes.

Limitações e compatibilidade

Não é um desinfetante: esta ferramenta não remove scripts, atributos de eventos, protocolos inseguros, atributos de estilo ou tags indesejadas.

Proteção incompleta: escapar sozinho não pode impedir todos os XSS. Use escape de estrutura, sanitização, CSP e validação do lado do servidor quando apropriado.

Dependente de contexto: Locais diferentes requerem estratégias de escape diferentes (conteúdo HTML, atributos, JavaScript, CSS)

Privacidade e segurança

A codificação e decodificação de entidades HTML rodam localmente no navegador. O texto de origem pode permanecer como rascunho do navegador. Se um espaço de trabalho salvo ou a sincronização WebDAV estiver ativa, esse texto também poderá ser salvo por essa sincronização. Encode, Decode e o texto copiado usam o mesmo conteúdo do editor; esta ferramenta não envia arquivos, não cria anexos, não exporta arquivos nem salva um estado de resultado separado.

Início rápido

Cenários comuns

Comentários do usuário

Posts de blog

Postagens no fórum

Mensagens de bate-papo

Dados do formulário

Exibição de código

Regras de escape e entidades

Limites de Fuga vs Sanitização

Dicas de uso

Limitações e compatibilidade

Privacidade e segurança

Perguntas frequentes

O que é um ataque XSS?

Quando o escape HTML é necessário?

Qual é a diferença entre &lt; e &#60;?

O escape previne todas as injeções de JavaScript?

Por que às vezes vejo &amp;lt; escape duplo?

Como permitir algumas tags HTML seguras?

Início rápido

Cenários comuns

Comentários do usuário

Posts de blog

Postagens no fórum

Mensagens de bate-papo

Dados do formulário

Exibição de código

Regras de escape e entidades

Limites de Fuga vs Sanitização

Dicas de uso

Limitações e compatibilidade

Privacidade e segurança

Perguntas frequentes

O que é um ataque XSS?

Quando o escape HTML é necessário?

Qual é a diferença entre &amp;lt; e &amp;#60;?

O escape previne todas as injeções de JavaScript?

Por que às vezes vejo &amp;amp;lt; escape duplo?

Como permitir algumas tags HTML seguras?

Ferramentas relacionadas

Qual é a diferença entre < e <?

Por que às vezes vejo &lt; escape duplo?