HTML Encoder / Decoder
Escapuj HTML speciální znaky nebo dekóduj entity zpět. Užitečné pro bezpečné vkládání user inputu nebo debugging encoded markupu.
Zadej vstup nahoře, aby ses dostal k výsledku.
Vytvořil JXXR1 · ♥ Sponzorovat · ☕ Kup mi kávu
K čemu to slouží?
Speciální HTML znaky (<, >, &, ", ') mají v HTML syntaktický význam. Pokud je potřebuješ zobrazit doslovně (nebo vložit user input bez rizika XSS), musíš je „escapovat" na entity (<, >, …). Tenhle nástroj dělá oba směry.
Kdy to použít
- Vkládání bloků kódu (HTML / XML) do dokumentace jako text.
- Sanitizace user inputu před zobrazením (proti XSS).
- Debug encoded markupu, který ti někdo poslal ve zprávě.
- Příprava HTML šablony, kde znaky
<chceš zobrazit doslovně.
Časté chyby
- Tohle samo o sobě XSS nezabrání. Escape je nutný, ale ne postačující. Potřebuješ i CSP, sanitizaci atributů, kontextově-správný escape (JS, URL, CSS).
- Atributy potřebují jiný escape. V
title="..."musíš escapovat i uvozovky. - Numerické entity.
<=<. Decimal a hex (<) jsou obě validní. - Named entities. Některé (
©) jsou stabilní, ale nepoužívej exotické (℗), které nepodporují všechny parsery.