CrateX.app

ตัวแปลง HTML (เข้ารหัส/ถอดรหัส)

ตัวแปลง HTML (เข้ารหัส/ถอดรหัส): รองรับการ escape และ unescape เอนทิตี HTML จัดการอักขระพิเศษและแท็ก ตรวจจับรูปแบบเอนทิตีที่มีชื่อและตัวเลขโดยอัตโนมัติ ป้องกันการโจมตี XSS เหมาะสำหรับการแสดงข้อมูลที่ผู้ใช้ป้อน ตัวอย่างโค้ด และการประมวลผลเนื้อหาที่ปลอดภัย

เริ่มต้นอย่างรวดเร็ว

กรอกเนื้อหา ลงในช่อง

เลือกโหมด เข้ารหัส หรือ ถอดรหัส

คลิกปุ่มเพื่อแปลงค่าผลลัพธ์จะแสดงในกล่องข้อความเดียวกัน

คลิกปุ่มคัดลอกเพื่อใช้งานผลลัพธ์ต่อ

สถานการณ์การใช้งานทั่วไป

คอมเมนต์ผู้ใช้

Escape ข้อความที่ผู้ใช้ส่งมาเพื่อลดความเสี่ยง XSS

บทความบล็อก

แสดงตัวอย่างโค้ด HTML ในเนื้อหา

กระทู้/ฟอรัม

แสดงเนื้อหาที่ผู้ใช้สร้างอย่างปลอดภัย

ระบบแชต

ป้องกันไม่ให้โค้ดอันตรายแพร่กระจายผ่านข้อความ

ข้อมูลฟอร์ม

ประมวลผลและแสดงข้อมูลจากฟอร์มโดยไม่เสี่ยง XSS

หน้าแสดงโค้ด

แสดงโค้ด HTML/JavaScript บนหน้าเว็บ

สถานการณ์เสริม

HTML entities, escape HTML และ unescape HTML ก็จัดการในขั้นตอนเดียวกันได้ ช่วยตรวจผลลัพธ์ให้เร็วขึ้นก่อนคัดลอกหรือส่งออก

กฎและรูปแบบการ Escape HTML

อักขระที่พบบ่อย: < > & " '

รูปแบบ Entity: อักขระพิเศษจะแปลงเป็นรูปแบบ &entity; หรือ &#code; เช่น < กลายเป็น < หรือ <

Escape ใน attribute: แปลงเครื่องหมายคำพูดเป็น " เพื่อป้องกันการหลุดออกจากค่า attribute

ป้องกันสคริปต์: แท็ก <script> จะถูก Escape เพื่อป้องกันการฝัง JavaScript

เช่น เขียน <div> เป็น <div> เพื่อไม่ให้เบราว์เซอร์ตีความเป็นแท็กจริง

คำแนะนำการใช้งาน

คำนึงถึงบริบท: เลือกวิธี Escape ให้เหมาะกับบริบทการแสดงผล

ทำฝั่งเซิร์ฟเวอร์: การป้องกันสำคัญควรทำซ้ำที่ฝั่งเซิร์ฟเวอร์

ตรวจสอบซ้ำ: ตรวจดูผลลัพธ์หลัง Escape เพื่อให้แน่ใจว่าไม่มีส่วนใดหลุดไป

ใช้ไลบรารี: ใน production ควรใช้ไลบรารีที่เชื่อถือได้แทนการเขียนเอง

ตรวจสอบการแสดงผล: ทดลองแสดงผลในคอนโซลเบราว์เซอร์หลัง Escape

ข้อจำกัดและความเข้ากันได้

ไม่ใช่ตัว Sanitizer: ไม่ลบสคริปต์/อีเวนต์/protocol ที่ไม่ปลอดภัย ต้องใช้ร่วมกับการ Sanitization

การ Escape อย่างเดียวไม่เพียงพอ: ควรใช้ร่วมกับการ Sanitization นโยบาย Content-Security-Policy และมาตรการอื่น ๆ

ขึ้นกับบริบท: ตำแหน่งต่างกันต้องใช้รูปแบบ Escape ต่างกัน

เพื่อให้หน้าเว็บตอบสนองดี เมื่อข้อความยาวมากอาจใช้วิธีประมวลผลที่ง่ายขึ้น แนะนำให้แยกเป็นส่วน ๆ

การจัดการเซสชัน

เนื้อหาปัจจุบันสามารถแทนที่ ล้าง และประมวลผลใหม่ได้ตลอด ก่อนส่งออกผลลัพธ์สุดท้ายจึงตรวจซ้ำได้หลายรอบ

คำถามที่พบบ่อย

ขั้นตอนถัดไปสามารถทำต่อด้วยเครื่องมือที่เกี่ยวข้องเหล่านี้

ตัวแปลง HTML (เข้ารหัส/ถอดรหัส)

ตัวแปลง HTML (เข้ารหัส/ถอดรหัส)

เริ่มต้นอย่างรวดเร็ว

สถานการณ์การใช้งานทั่วไป

คอมเมนต์ผู้ใช้

บทความบล็อก

กระทู้/ฟอรัม

ระบบแชต

ข้อมูลฟอร์ม

หน้าแสดงโค้ด

สถานการณ์เสริม

กฎและรูปแบบการ Escape HTML

คำแนะนำการใช้งาน

ข้อจำกัดและความเข้ากันได้

การจัดการเซสชัน

คำถามที่พบบ่อย

การโจมตี XSS คืออะไร?

ควร Escape HTML เมื่อไร?

ความแตกต่างระหว่าง < และ < คืออะไร?

การ Escape ป้องกัน JavaScript injection ได้ทั้งหมดหรือไม่?

ทำไมบางครั้งจึงเห็น &lt; หรือการ Escape ซ้ำ?

หากต้องการอนุญาตเฉพาะบางแท็ก HTML ควรทำอย่างไร?

เริ่มต้นอย่างรวดเร็ว

สถานการณ์การใช้งานทั่วไป

คอมเมนต์ผู้ใช้

บทความบล็อก

กระทู้/ฟอรัม

ระบบแชต

ข้อมูลฟอร์ม

หน้าแสดงโค้ด

สถานการณ์เสริม

กฎและรูปแบบการ Escape HTML

คำแนะนำการใช้งาน

ข้อจำกัดและความเข้ากันได้

การจัดการเซสชัน

คำถามที่พบบ่อย

การโจมตี XSS คืออะไร?

ควร Escape HTML เมื่อไร?

ความแตกต่างระหว่าง &lt; และ &#60; คืออะไร?

การ Escape ป้องกัน JavaScript injection ได้ทั้งหมดหรือไม่?

ทำไมบางครั้งจึงเห็น &amp;lt; หรือการ Escape ซ้ำ?

หากต้องการอนุญาตเฉพาะบางแท็ก HTML ควรทำอย่างไร?

เครื่องมือที่เกี่ยวข้อง

ความแตกต่างระหว่าง < และ < คืออะไร?

ทำไมบางครั้งจึงเห็น < หรือการ Escape ซ้ำ?