Mã hóa/Giải mã HTML

Bắt đầu nhanh

1

Nhập HTML hoặc văn bản thực thể đã escape.

2

Chọn Mã hóa hoặc Giải mã.

3

Chuyển đổi trong cùng trình soạn thảo.

4

Sao chép kết quả hiện tại.

Tình huống sử dụng phổ biến

Nhận xét của người dùng

thoát văn bản khi bạn cần nhận xét hiển thị dưới dạng văn bản thuần túy bên trong ngữ cảnh nội dung HTML

Bài viết blog

hiển thị ví dụ mã HTML trong bài viết.

Bài đăng trên diễn đàn

hiển thị văn bản do người dùng tạo mà không để thẻ hiển thị dưới dạng đánh dấu

Tin nhắn trò chuyện

hiển thị đánh dấu đã dán dưới dạng văn bản trước khi nó đến khu vực nội dung HTML

Dữ liệu biểu mẫu

kiểm tra và sao chép các giá trị thoát trước khi hiển thị văn bản đã gửi

Hiển thị mã

trình bày đoạn mã HTML/JavaScript trên trang web.

Quy tắc escape & entity

Mã hóa xử lý sáu ký tự sau: & < > " ' /. Tính năng thoát dấu gạch chéo được bao gồm để tương thích, nhưng hầu hết các ngữ cảnh văn bản và thuộc tính HTML không yêu cầu nó.

Bản đồ mã hóa cố định: & trở thành &, < trở thành <, > trở thành >, " trở thành ", ' trở thành ' và / trở thành /.

Văn bản thuộc tính: dấu ngoặc kép trở thành " và dấu ngoặc đơn trở thành ', nhưng các thuộc tính, sự kiện và giao thức URL vẫn cần xử lý theo ngữ cảnh cụ thể.

Hiển thị thẻ tập lệnh dưới dạng văn bản: mã hóa <script> trước khi đặt nó vào ngữ cảnh nội dung HTML.

Ví dụ, viết <div> để tránh bị trình duyệt parse thành thẻ HTML thực.

Ranh giới trốn thoát và vệ sinh

Encode sử dụng bản đồ sáu ký tự cố định. Nó không biến mọi ký tự Unicode thành một thực thể được đặt tên, thập phân hoặc thập lục phân.

Giải mã sử dụng quy tắc phân tích cú pháp HTML của trình duyệt để tham chiếu ký tự. Các thực thể không xác định hoặc chưa đầy đủ có thể không thay đổi thay vì tạo báo cáo xác thực.

Thoát hiển thị các thẻ dưới dạng văn bản. Quá trình dọn dẹp lọc các thẻ, thuộc tính, sự kiện và giao thức. Trang này chỉ thực hiện nhiệm vụ đầu tiên.

Nội dung, thuộc tính, chuỗi JavaScript, CSS, URL, JSON và Markdown đều cần các quy tắc thoát khác nhau.

Trang này không có bản xem trước HTML, trình định dạng, trình xác thực, cây DOM, báo cáo XSS, tải lên tệp hoặc xuất tải xuống.

Việc mã hóa và giải mã HTML entity chạy cục bộ trong trình duyệt. Văn bản nguồn có thể được giữ như bản nháp của trình duyệt. Nếu không gian làm việc đã lưu hoặc đồng bộ WebDAV được bật, văn bản đó cũng có thể được lưu qua cơ chế đồng bộ đó. Encode, Decode và văn bản đã sao chép đều dùng cùng nội dung trong trình soạn thảo; công cụ này không tải tệp lên, không tạo tệp đính kèm, không xuất tệp và không lưu trạng thái kết quả riêng.

Gợi ý sử dụng

Escape theo ngữ cảnh: chọn chiến lược escape phù hợp với vị trí output.

Xử lý phía máy chủ: việc mã hóa và dọn dẹp đầu ra quan trọng về bảo mật phải được thực thi trong ứng dụng của bạn, không chỉ trong trình trợ giúp trình duyệt.

Kiểm tra kỹ: xác minh kết quả đã thoát trong ngữ cảnh đích trước khi sử dụng nó trong sản xuất.

Sử dụng thư viện: môi trường sản xuất nên dựa vào việc thoát khung và trình khử trùng hoàn thiện thay vì xử lý sao chép-dán thủ công.

Kiểm tra xem trước: xác nhận kết quả trong trang đích hoặc môi trường thử nghiệm, vì mỗi bối cảnh đầu ra có các quy tắc khác nhau.

Giới hạn & khả năng tương thích

Không phải là công cụ khử trùng: công cụ này không xóa tập lệnh, thuộc tính sự kiện, giao thức không an toàn, thuộc tính kiểu hoặc thẻ không mong muốn.

Bảo vệ không đầy đủ: việc thoát một mình không thể ngăn chặn tất cả XSS. Sử dụng tính năng thoát khung, dọn dẹp, CSP và xác thực phía máy chủ khi thích hợp.

Phụ thuộc ngữ cảnh: các vị trí HTML, thuộc tính, JavaScript, CSS cần chiến lược escape khác nhau.

Quyền riêng tư & bảo mật

Việc mã hóa và giải mã HTML entity chạy cục bộ trong trình duyệt. Văn bản nguồn có thể được giữ như bản nháp của trình duyệt. Nếu không gian làm việc đã lưu hoặc đồng bộ WebDAV được bật, văn bản đó cũng có thể được lưu qua cơ chế đồng bộ đó. Encode, Decode và văn bản đã sao chép đều dùng cùng nội dung trong trình soạn thảo; công cụ này không tải tệp lên, không tạo tệp đính kèm, không xuất tệp và không lưu trạng thái kết quả riêng.

Bắt đầu nhanh

Tình huống sử dụng phổ biến

Nhận xét của người dùng

Bài viết blog

Bài đăng trên diễn đàn

Tin nhắn trò chuyện

Dữ liệu biểu mẫu

Hiển thị mã

Quy tắc escape & entity

Ranh giới trốn thoát và vệ sinh

Gợi ý sử dụng

Giới hạn & khả năng tương thích

Quyền riêng tư & bảo mật

Câu hỏi thường gặp

Tấn công XSS là gì?

Khi nào cần escape HTML?

Sự khác nhau giữa < và < là gì?

Escape có chặn được mọi trường hợp tiêm JavaScript không?

Vì sao đôi khi tôi thấy chuỗi kiểu &amp;lt; (bị escape hai lần)?

Làm sao cho phép một số thẻ HTML an toàn?

Bắt đầu nhanh

Tình huống sử dụng phổ biến

Nhận xét của người dùng

Bài viết blog

Bài đăng trên diễn đàn

Tin nhắn trò chuyện

Dữ liệu biểu mẫu

Hiển thị mã

Quy tắc escape & entity

Ranh giới trốn thoát và vệ sinh

Gợi ý sử dụng

Giới hạn & khả năng tương thích

Quyền riêng tư & bảo mật

Câu hỏi thường gặp

Tấn công XSS là gì?

Khi nào cần escape HTML?

Sự khác nhau giữa &lt; và &#60; là gì?

Escape có chặn được mọi trường hợp tiêm JavaScript không?

Vì sao đôi khi tôi thấy chuỗi kiểu &amp;amp;lt; (bị escape hai lần)?

Làm sao cho phép một số thẻ HTML an toàn?

Công cụ liên quan

Sự khác nhau giữa < và < là gì?

Vì sao đôi khi tôi thấy chuỗi kiểu &lt; (bị escape hai lần)?