ตัวแปลง HTML (เข้ารหัส/ถอดรหัส)

เริ่มต้นอย่างรวดเร็ว

1

กรอก HTML หรือข้อความเอนทิตีที่ escape แล้ว

2

เลือกเข้ารหัสหรือถอดรหัส

3

แปลงผลในตัวแก้ไขเดียวกัน

4

คัดลอกผลลัพธ์ปัจจุบัน

สถานการณ์การใช้งานทั่วไป

ความคิดเห็นของผู้ใช้

หลีกเลี่ยงข้อความเมื่อคุณต้องการแสดงความคิดเห็นเพื่อแสดงเป็นข้อความธรรมดาภายในบริบทเนื้อหา HTML

บทความบล็อก

แสดงตัวอย่างโค้ด HTML ในเนื้อหา

โพสต์ในฟอรัม

แสดงข้อความที่ผู้ใช้สร้างขึ้นโดยไม่ให้แท็กแสดงผลเป็นมาร์กอัป

ข้อความแชท

แสดงมาร์กอัปที่วางเป็นข้อความก่อนที่จะถึงพื้นที่เนื้อหา HTML

ข้อมูลแบบฟอร์ม

ตรวจสอบและคัดลอกค่าที่ใช้ Escape ก่อนแสดงข้อความที่ส่ง

หน้าแสดงโค้ด

แสดงโค้ด HTML/JavaScript บนหน้าเว็บ

กฎและรูปแบบการ Escape HTML

การเข้ารหัสจัดการอักขระหกตัวนี้: & < > " ' / การยกเว้นเครื่องหมายทับรวมอยู่ด้วยเพื่อให้เข้ากันได้ แต่บริบทข้อความและแอตทริบิวต์ HTML ส่วนใหญ่ไม่จำเป็นต้องใช้

แผนที่เข้ารหัสคงที่: & กลายเป็น &, < กลายเป็น <, > กลายเป็น >, " กลายเป็น ", ' กลายเป็น ' และ / กลายเป็น /

ข้อความแอตทริบิวต์: เครื่องหมายคำพูดคู่กลายเป็น " และเครื่องหมายคำพูดเดี่ยวจะกลายเป็น ' แต่แอตทริบิวต์ เหตุการณ์ และโปรโตคอล URL ยังคงต้องการการจัดการเฉพาะบริบท

แสดงแท็กสคริปต์เป็นข้อความ: เข้ารหัส <script> ก่อนที่จะวางในบริบทเนื้อหา HTML

เช่น เขียน <div> เป็น <div> เพื่อไม่ให้เบราว์เซอร์ตีความเป็นแท็กจริง

การหลบหนีและขอบเขตการฆ่าเชื้อ

เข้ารหัสใช้แผนผังหกอักขระคงที่ จะไม่เปลี่ยนอักขระ Unicode ทุกตัวให้เป็นเอนทิตีที่มีชื่อ ทศนิยม หรือเลขฐานสิบหก

การถอดรหัสใช้กฎการแยกวิเคราะห์เบราว์เซอร์ HTML สำหรับการอ้างอิงอักขระ เอนทิตีที่ไม่รู้จักหรือไม่สมบูรณ์อาจยังคงไม่เปลี่ยนแปลง แทนที่จะสร้างรายงานการตรวจสอบ

การ Escape แสดงแท็กเป็นข้อความ แท็ก แอตทริบิวต์ เหตุการณ์ และโปรโตคอลเพื่อสุขอนามัย หน้านี้ทำหน้าที่แรกเท่านั้น

เนื้อหา HTML, คุณลักษณะ, สตริง JavaScript, CSS, URL, JSON และ Markdown ล้วนต้องการกฎการ Escape ที่แตกต่างกัน

หน้านี้ไม่มีการแสดงตัวอย่าง HTML, ฟอร์แมตเตอร์, เครื่องมือตรวจสอบ, แผนผัง DOM, รายงาน XSS, การอัปโหลดไฟล์ หรือการส่งออกการดาวน์โหลด

การเข้ารหัสและถอดรหัส HTML entity ทำงานในเบราว์เซอร์ของคุณแบบโลคัล ข้อความต้นฉบับอาจค้างอยู่เป็นฉบับร่างของเบราว์เซอร์ หากเปิดใช้พื้นที่ทำงานที่บันทึกไว้หรือการซิงค์ WebDAV ข้อความนั้นอาจถูกบันทึกผ่านการซิงค์นั้นด้วย Encode, Decode และข้อความที่คัดลอกใช้เนื้อหาในช่องแก้ไขเดียวกันทั้งหมด เครื่องมือนี้ไม่อัปโหลดไฟล์ ไม่สร้างไฟล์แนบ ไม่ส่งออกไฟล์ และไม่บันทึกสถานะผลลัพธ์แยกต่างหาก

คำแนะนำการใช้งาน

คำนึงถึงบริบท: เลือกวิธี Escape ให้เหมาะกับบริบทการแสดงผล

การประมวลผลฝั่งเซิร์ฟเวอร์: ควรบังคับใช้การเข้ารหัสและการฆ่าเชื้อเอาต์พุตที่มีความสำคัญต่อความปลอดภัยในแอปของคุณ ไม่ใช่เฉพาะในตัวช่วยเบราว์เซอร์เท่านั้น

ตรวจสอบอีกครั้ง: ตรวจสอบผลลัพธ์ที่ Escape ในบริบทเป้าหมายก่อนนำไปใช้ในการใช้งานจริง

ใช้ไลบรารี: สภาพแวดล้อมการใช้งานจริงควรอาศัยการหลบหนีจากเฟรมเวิร์กและการฆ่าเชื้อที่สมบูรณ์ แทนการประมวลผลการคัดลอกและวางด้วยตนเอง

การตรวจสอบตัวอย่าง: ยืนยันผลลัพธ์ในหน้าปลายทางหรือสภาพแวดล้อมการทดสอบ เนื่องจากบริบทเอาต์พุตแต่ละรายการมีกฎที่แตกต่างกัน

ข้อจำกัดและความเข้ากันได้

ไม่ใช่น้ำยาฆ่าเชื้อ: เครื่องมือนี้จะไม่ลบสคริปต์ คุณลักษณะของเหตุการณ์ โปรโตคอลที่ไม่ปลอดภัย คุณลักษณะของสไตล์ หรือแท็กที่ไม่ต้องการ

การป้องกันที่ไม่สมบูรณ์: การหลบหนีเพียงอย่างเดียวไม่สามารถป้องกัน XSS ได้ทั้งหมด ใช้ Framework Escape, การฆ่าเชื้อ, CSP และการตรวจสอบฝั่งเซิร์ฟเวอร์ตามความเหมาะสม

ขึ้นกับบริบท: ตำแหน่งต่างกันต้องใช้รูปแบบ Escape ต่างกัน

ความเป็นส่วนตัวและความปลอดภัย

การเข้ารหัสและถอดรหัส HTML entity ทำงานในเบราว์เซอร์ของคุณแบบโลคัล ข้อความต้นฉบับอาจค้างอยู่เป็นฉบับร่างของเบราว์เซอร์ หากเปิดใช้พื้นที่ทำงานที่บันทึกไว้หรือการซิงค์ WebDAV ข้อความนั้นอาจถูกบันทึกผ่านการซิงค์นั้นด้วย Encode, Decode และข้อความที่คัดลอกใช้เนื้อหาในช่องแก้ไขเดียวกันทั้งหมด เครื่องมือนี้ไม่อัปโหลดไฟล์ ไม่สร้างไฟล์แนบ ไม่ส่งออกไฟล์ และไม่บันทึกสถานะผลลัพธ์แยกต่างหาก

เริ่มต้นอย่างรวดเร็ว

สถานการณ์การใช้งานทั่วไป

ความคิดเห็นของผู้ใช้

บทความบล็อก

โพสต์ในฟอรัม

ข้อความแชท

ข้อมูลแบบฟอร์ม

หน้าแสดงโค้ด

กฎและรูปแบบการ Escape HTML

การหลบหนีและขอบเขตการฆ่าเชื้อ

คำแนะนำการใช้งาน

ข้อจำกัดและความเข้ากันได้

ความเป็นส่วนตัวและความปลอดภัย

คำถามที่พบบ่อย

การโจมตี XSS คืออะไร?

ควร Escape HTML เมื่อไร?

ความแตกต่างระหว่าง < และ < คืออะไร?

การ Escape ป้องกัน JavaScript injection ได้ทั้งหมดหรือไม่?

ทำไมบางครั้งจึงเห็น &lt; หรือการ Escape ซ้ำ?

หากต้องการอนุญาตเฉพาะบางแท็ก HTML ควรทำอย่างไร?

เริ่มต้นอย่างรวดเร็ว

สถานการณ์การใช้งานทั่วไป

ความคิดเห็นของผู้ใช้

บทความบล็อก

โพสต์ในฟอรัม

ข้อความแชท

ข้อมูลแบบฟอร์ม

หน้าแสดงโค้ด

กฎและรูปแบบการ Escape HTML

การหลบหนีและขอบเขตการฆ่าเชื้อ

คำแนะนำการใช้งาน

ข้อจำกัดและความเข้ากันได้

ความเป็นส่วนตัวและความปลอดภัย

คำถามที่พบบ่อย

การโจมตี XSS คืออะไร?

ควร Escape HTML เมื่อไร?

ความแตกต่างระหว่าง &lt; และ &#60; คืออะไร?

การ Escape ป้องกัน JavaScript injection ได้ทั้งหมดหรือไม่?

ทำไมบางครั้งจึงเห็น &amp;lt; หรือการ Escape ซ้ำ?

หากต้องการอนุญาตเฉพาะบางแท็ก HTML ควรทำอย่างไร?

เครื่องมือที่เกี่ยวข้อง

ความแตกต่างระหว่าง < และ < คืออะไร?

ทำไมบางครั้งจึงเห็น < หรือการ Escape ซ้ำ?