HTML 转义/反转义

快速开始

1

输入 HTML 或已转义实体文本。

2

点击“编码”或“解码”。

3

在同一编辑器中转换。

4

复制当前结果。

常见使用场景

用户评论

把不可信文本放入 HTML 内容区域前先转义。

博客文章

在文章中展示 HTML 标签和代码片段。

论坛帖子

显示用户文本，不让粘贴的标签渲染为标记。

聊天消息

进入 HTML 内容区域前，把粘贴的标记转成可见文本。

表单数据

显示提交文本前检查并复制转义后的值。

代码展示

在网页中展示 HTML 或 JavaScript 代码片段。

转义规则与实体

本工具会转义 6 类字符：& < > " ' /；其中 / 在多数 HTML 文本和属性场景并非必须，这里作为兼容策略统一处理。

固定编码映射：& → &，< → <，> → >，" → "，' → '，/ → /。

属性文本：" 会转为 "，' 会转为 '；属性名、事件属性和 URL 协议仍需按上下文处理。

脚本示例：把 <script> 放入 HTML 内容上下文前先转义，让它显示为文本。

标签展示：把 <div> 写成 <div>，让浏览器显示文本而不是解析成标签。

转义与净化边界

编码使用固定六字符映射，不会把所有 Unicode 字符转成命名、十进制或十六进制实体。

解码依赖浏览器 HTML 解析规则处理字符引用；未知或不完整实体可能保留原样，而不是生成校验报告。

转义会把标签显示为文本；净化会过滤标签、属性、事件和协议。本页只做前者。

HTML 内容、属性、JavaScript 字符串、CSS、URL、JSON、Markdown 都需要不同的转义规则。

页面没有 HTML 预览、格式化、校验、DOM 树、XSS 报告、文件上传或下载导出。

HTML 实体编码和解码在浏览器本地完成。源文本可能作为浏览器草稿保留。若启用已保存工作区或 WebDAV 同步，该文本也可能随同步保存。Encode、Decode 和复制文本都使用同一个编辑器内容；本工具不会上传文件、创建附件、导出文件或保存单独结果状态。

使用建议

上下文转义：按实际输出位置选择转义规则。

服务端处理：安全关键的输出编码和内容净化应在应用中强制执行，不能只依赖浏览器辅助工具。

双重检查：进入生产环境前，在目标上下文确认转义结果。

使用库：生产环境应依赖框架默认转义和成熟 Sanitizer，而不是手动复制粘贴处理。

预览检查：请在目标页面或测试环境确认结果，因为不同输出上下文规则不同。

限制与兼容性

本工具不是 Sanitizer：不会移除脚本、事件属性、危险协议、style 属性或不需要的标签。

不完全防护：仅 HTML 转义不能防止所有 XSS，需结合框架默认转义、内容净化、CSP 与服务端校验。

上下文依赖：HTML 内容、属性、JavaScript、CSS、URL、JSON、Markdown 都需要不同的转义规则。

隐私与安全

HTML 实体编码和解码在浏览器本地完成。源文本可能作为浏览器草稿保留。若启用已保存工作区或 WebDAV 同步，该文本也可能随同步保存。Encode、Decode 和复制文本都使用同一个编辑器内容；本工具不会上传文件、创建附件、导出文件或保存单独结果状态。

快速开始

常见使用场景

用户评论

博客文章

论坛帖子

聊天消息

表单数据

代码展示

转义规则与实体

转义与净化边界

使用建议

限制与兼容性

隐私与安全

常见问题

什么是 XSS 攻击？

什么时候需要 HTML 转义？

< 和 < 有什么区别？

转义能防止所有 JavaScript 注入吗？

为什么有时会看到 &lt; 这样的双重转义？

如何允许部分安全的 HTML 标签？

快速开始

常见使用场景

用户评论

博客文章

论坛帖子

聊天消息

表单数据

代码展示

转义规则与实体

转义与净化边界

使用建议

限制与兼容性

隐私与安全

常见问题

什么是 XSS 攻击？

什么时候需要 HTML 转义？

&lt; 和 &#60; 有什么区别？

转义能防止所有 JavaScript 注入吗？

为什么有时会看到 &amp;lt; 这样的双重转义？

如何允许部分安全的 HTML 标签？

相关工具

< 和 < 有什么区别？

为什么有时会看到 < 这样的双重转义？