HTML 轉義/反轉義

快速開始

1

輸入 HTML 或已轉義實體文字。

2

點擊「編碼」或「解碼」。

3

在同一編輯器中轉換。

4

複製目前結果。

常見使用情境

使用者評論

把不可信文字放入 HTML 內容區域前先轉義。

部落格文章

在文章中展示 HTML 標籤和程式碼片段。

論壇貼文

顯示使用者文字，不讓貼上的標籤渲染為標記。

聊天訊息

進入 HTML 內容區域前，把貼上的標記轉成可見文字。

表單資料

顯示提交文字前檢查並複製轉義後的值。

程式碼展示

在網頁中展示 HTML 或 JavaScript 程式碼片段。

轉義規則與實體

本工具會轉義 6 類字元：& < > " ' /；其中 / 在多數 HTML 文字和屬性情境並非必須，這裡作為相容策略統一處理。

固定編碼映射：& → &，< → <，> → >，" → "，' → '，/ → /。

屬性文字：" 會轉為 "，' 會轉為 '；屬性名稱、事件屬性和 URL 協定仍需依情境處理。

腳本範例：把 <script> 放入 HTML 內容情境前先轉義，讓它顯示為文字。

標籤展示：把 <div> 寫成 <div>，讓瀏覽器顯示文字而不是解析成標籤。

轉義與淨化邊界

編碼使用固定六字元映射，不會把所有 Unicode 字元轉成命名、十進位或十六進位實體。

解碼依賴瀏覽器 HTML 解析規則處理字元參照；未知或不完整實體可能保留原樣，而不是產生驗證報告。

轉義會把標籤顯示為文字；淨化會過濾標籤、屬性、事件和協定。本頁只做前者。

HTML 內容、屬性、JavaScript 字串、CSS、URL、JSON、Markdown 都需要不同的轉義規則。

頁面沒有 HTML 預覽、格式化、驗證、DOM 樹、XSS 報告、檔案上傳或下載匯出。

HTML 實體編碼和解碼在瀏覽器本地完成。來源文字可能作為瀏覽器草稿保留。若啟用已儲存工作區或 WebDAV 同步，該文字也可能隨同步儲存。Encode、Decode 和複製文字都使用同一個編輯器內容；本工具不會上傳檔案、建立附件、匯出檔案或儲存單獨結果狀態。

使用建議

情境轉義：依實際輸出位置選擇轉義規則。

伺服器端處理：安全關鍵的輸出編碼和內容淨化應在應用程式中強制執行，不能只依賴瀏覽器輔助工具。

雙重檢查：進入正式環境前，在目標情境確認轉義結果。

使用函式庫：正式環境應依賴框架預設轉義和成熟 Sanitizer，而不是手動複製貼上處理。

預覽檢查：請在目標頁面或測試環境確認結果，因為不同輸出情境規則不同。

限制與相容性

本工具不是 Sanitizer：不會移除腳本、事件屬性、危險協定、style 屬性或不需要的標籤。

不完全防護：僅 HTML 轉義無法防止所有 XSS，需結合框架預設轉義、內容淨化、CSP 與伺服器端驗證。

情境依賴：HTML 內容、屬性、JavaScript、CSS、URL、JSON、Markdown 都需要不同的轉義規則。

隱私與安全

HTML 實體編碼和解碼在瀏覽器本地完成。來源文字可能作為瀏覽器草稿保留。若啟用已儲存工作區或 WebDAV 同步，該文字也可能隨同步儲存。Encode、Decode 和複製文字都使用同一個編輯器內容；本工具不會上傳檔案、建立附件、匯出檔案或儲存單獨結果狀態。

快速開始

常見使用情境

使用者評論

部落格文章

論壇貼文

聊天訊息

表單資料

程式碼展示

轉義規則與實體

轉義與淨化邊界

使用建議

限制與相容性

隱私與安全

常見問題

什麼是 XSS 攻擊？

什麼時候需要 HTML 轉義？

< 和 < 有什麼區別？

HTML 轉義能防止所有 JavaScript 注入嗎？

為什麼有時會看到 &lt; 這樣的雙重轉義？

如何允許部分安全的 HTML 標籤？

快速開始

常見使用情境

使用者評論

部落格文章

論壇貼文

聊天訊息

表單資料

程式碼展示

轉義規則與實體

轉義與淨化邊界

使用建議

限制與相容性

隱私與安全

常見問題

什麼是 XSS 攻擊？

什麼時候需要 HTML 轉義？

&lt; 和 &#60; 有什麼區別？

HTML 轉義能防止所有 JavaScript 注入嗎？

為什麼有時會看到 &amp;lt; 這樣的雙重轉義？

如何允許部分安全的 HTML 標籤？

相關工具

< 和 < 有什麼區別？

為什麼有時會看到 < 這樣的雙重轉義？