Menyisipkan user content yang tidak dipercaya ke HTML — encode dulu untuk mencegah XSS. Decode markup hasil scrape atau paste yang datang dengan entity ( & , ' , “ ). Membersihkan template yang tanpa sengaja ter-escape dua kali. Menyiapkan snippet untuk JSDoc, XML tanpa CDATA, atau code fence Markdown yang butuh angle bracket literal.

Encoding bukan sanitization. Encoding membuat text aman ditampilkan; jika kamu juga ingin menghapus tag, kamu butuh HTML sanitizer. Attribute vs body. Kedua konteks butuh lima karakter yang sama di-escape, tapi event handler JavaScript seperti onclick butuh escape tambahan (yang tool ini tidak lakukan — jauhkan data tidak terpercaya dari attribute). Decoder permisif. Named entity ( “ ), decimal ( " ), dan hex ( " ) semua di-decode lewat parser browser, jadi ia menerima apa pun yang akan diterima browser sungguhan. Jangan double-encode. Meng-encode value yang sudah di-encode menghasilkan & . Decode dulu kalau kamu melihat entity di input.

HTML Encoder / Decoder

Escape karakter khusus HTML atau decode entity kembali. Berguna untuk menyematkan input pengguna dengan aman atau debug markup yang ter-encode.

Mode Input

Output

Masukkan input di atas untuk melihat hasilnya.

Dibuat oleh JXXR1 · ♥ Jadi sponsor · ☕ Belikan saya kopi

Untuk apa ini?

HTML mereservasi lima karakter yang punya makna struktural — &, <, >, ", '. Memasukkan salah satunya ke halaman sebagai content mengharuskan kamu meng-escape-nya menjadi HTML entity supaya browser tidak menafsirkannya sebagai markup. Tool ini bekerja dua arah: encode raw text menjadi entity yang aman, atau decode HTML hasil scrape kembali menjadi plain text.

Kapan digunakan

Menyisipkan user content yang tidak dipercaya ke HTML — encode dulu untuk mencegah XSS.
Decode markup hasil scrape atau paste yang datang dengan entity (&, ', “).
Membersihkan template yang tanpa sengaja ter-escape dua kali.
Menyiapkan snippet untuk JSDoc, XML tanpa CDATA, atau code fence Markdown yang butuh angle bracket literal.

Kesalahan umum

Encoding bukan sanitization. Encoding membuat text aman ditampilkan; jika kamu juga ingin menghapus tag, kamu butuh HTML sanitizer.
Attribute vs body. Kedua konteks butuh lima karakter yang sama di-escape, tapi event handler JavaScript seperti onclick butuh escape tambahan (yang tool ini tidak lakukan — jauhkan data tidak terpercaya dari attribute).
Decoder permisif. Named entity (“), decimal ("), dan hex (") semua di-decode lewat parser browser, jadi ia menerima apa pun yang akan diterima browser sungguhan.
Jangan double-encode. Meng-encode value yang sudah di-encode menghasilkan &amp;. Decode dulu kalau kamu melihat entity di input.