HTML Kaçış/Kaldırma

Özel karakterleri ve etiketleri işleyen HTML varlık kaçışı ve geri alma işlemlerini destekler. Adlandırılmış ve sayısal varlık biçimlerini otomatik olarak algılar, XSS saldırılarını önler, kullanıcı girişi görüntüleme, kod örnekleri ve güvenli içerik işleme için uygundur.

Kullanım talimatları

🚀 Hızlı başlangıç

Metin kutusuna HTML veya daha önce kaçırılmış metni girin.
Kodla veya Çöz sekmesini seçin.
Dönüştür düğmesine tıklayın; sonuç aynı metin alanında gösterilir.
Sonucu yeniden kullanmak için Kopyala'ya tıklayın.

📌 Yaygın kullanım senaryoları

Kullanıcı yorumları: kullanıcı tarafından gönderilen yorumları kaçırarak XSS saldırılarını önleyin.
Blog yazıları: makalelerde HTML kod örneklerini güvenle gösterin.
Forum gönderileri: kullanıcı tarafından üretilen içeriği güvenli biçimde görüntüleyin.
Sohbet mesajları: sohbet özellikleri üzerinden zararlı kod yayılmasını engelleyin.
Form verileri: form gönderimlerini işleyip güvenle görüntüleyin.
Kod gösterimi: sayfalarda HTML/JavaScript kod parçacıklarını düzgün biçimde gösterin.

🎛️ Kaçış kuralları ve varlıklar

Yaygın karakterler: < > & " ' (eğik çizgi / genellikle gerekli değildir; bağlama bağlıdır)
Varlık biçimi: Özel karakterler &entity; veya &#code; biçimine dönüştürülür; örneğin < karakteri &lt; veya &#60; olur.
Öznitelik kaçışı: tırnak işaretlerini &quot; vb. varlıklara dönüştürerek öznitelik değerlerini koruyun.
Betik koruması: <script> etiketlerini otomatik kaçırarak JavaScript enjeksiyonunu engelleyin.
Tarayıcı tarafından yorumlanmaması için <div> yerine <div> kullanın.

🧭 Kullanım tavsiyeleri

Bağlama duyarlı kaçış: çıktının kullanılacağı yere göre uygun kaçış stratejisi seçin.
Sunucu tarafı işleme: kritik güvenlik kaçışları sunucu tarafında yapılmalıdır.
Çift kontrol: kaçış sonrası çıktıyı gözden geçirerek hiçbir şeyin kaçmadığından emin olun.
Kütüphane kullanın: Üretim ortamlarında manuel işlem yerine olgun kaçış kütüphaneleri kullanın.
Önizleme kontrolü: Kaçış sonrası gerçek çıktıyı tarayıcı konsolunda önizleyerek doğrulayın.

⚠️ Sınırlamalar ve uyumluluk

Bu bir temizleyici değildir: betikleri, olayları ve güvensiz protokolleri kaldırmaz; içerik temizleme ile birlikte kullanın.
Eksik koruma: Yalnızca kaçış tüm XSS vektörlerini durdurmaz; ek güvenlik önlemleriyle birlikte kullanın.
Bağlama bağlı: HTML içerikleri, öznitelikler, JavaScript veya CSS gibi farklı konumlar farklı kaçış stratejileri gerektirir.
Sayfanın duyarlı kalması için çok büyük metinler daha basit şekilde işlenebilir; gerekirse metni parçalara ayırmayı düşünün.

🔒 Gizlilik ve güvenlik

Tüm işlemler tarayıcınızda gerçekleşir; veriler cihazınızı terk etmez.

❓ Sıkça Sorulan Sorular

XSS saldırısı nedir?

XSS (Cross-Site Scripting), saldırganların web sayfalarına zararlı betikler enjekte ederek kullanıcı verilerini çalması veya istenmeyen işlemler yaptırmasıdır. HTML kaçışı, XSS’e karşı temel savunma katmanlarından biridir.

HTML kaçışı ne zaman gerekir?

Yorumlar, mesajlar, form verileri gibi kullanıcı girdilerini görüntülerken her zaman kaçış uygulayın. İçeriğin HTML etiketi barındırma ihtimali varsa çıktı öncesi kaçırılmalıdır.

&lt; ile &#60; arasındaki fark nedir?

İkisi de < karakterini temsil eder. &lt; adlandırılmış varlıktır (lt = less-than); &#60;/&#x3C; sayısal/onaltılık varlıklardır. Modern HTML’de sonuç aynıdır: okunabilirlik için &lt; kullanın, desteklenmediği veya rastgele karakter gerektiği durumlarda &#60;/&#x3C; tercih edin. Sonda mutlaka noktalı virgül olmalıdır; aksi halde sonraki harflerle birleşip yanlış yorumlanabilir (örn. “&notin” → “&not;” + “in” → “¬in”).

Kaçış tüm JavaScript enjeksiyonlarını engeller mi?

Hayır. HTML kaçışı yalnızca HTML bağlamında geçerlidir; JavaScript, CSS veya URL bağlamlarında farklı kaçış yöntemleri gerekir.

Neden bazen &amp;lt; gibi çift kaçış görünüyor?

İçerik iki kez kaçırıldığında oluşur. Önce < → &lt;, ardından & → &amp; olur ve sonuç &amp;lt; şeklinde görünür. Aynı veriyi yeniden kaçırmaktan kaçının.

Bazı güvenli HTML etiketlerine nasıl izin verilir?

Sadece kaçış yeterli değildir; sanitizasyon kullanın. Güvenli etiket/öznitelik listesi oluşturup protokolleri filtreleyin. Örn. p/br/ul/ol/li/a/strong/em/code/pre/blockquote/h1–h3 dışına çıkmayın; a yalnızca href/title/target (http/https/mailto/tel), img yalnızca src/alt kabul etsin; style ve tüm on* olaylarını kaldırın. DOMPurify/sanitize-html gibi kütüphaneleri, mümkünse sunucu tarafında kullanın; güvenilmeyen içeriği innerHTML/dangerouslySetInnerHTML içine koymayın, düz metin için textContent kullanın.