Onbetrouwbare user content embedden in HTML — encode eerst om XSS te voorkomen. Scraped of geplakte markup decoderen die met entities arriveerde ( & , ' , “ ). Templates ontmangelen die per ongeluk dubbel zijn ge-escaped. Snippets voorbereiden voor JSDoc, CDATA-free XML of markdown code fences die letterlijke angle brackets nodig hebben.

HTML Encoder / Decoder

Escape HTML-speciale tekens of decodeer entities terug. Nuttig voor veilig embedden van user input of debuggen van encoded markup.

Mode Invoer

Uitvoer

Geef hierboven invoer om het resultaat te zien.

Waarvoor is dit?

HTML reserveert vijf karakters met structurele betekenis — &, <, >, ", '. Een van die als content in een pagina zetten vereist ze als HTML-entities te escapen zodat de browser ze niet als markup interpreteert. Deze tool werkt beide kanten op: encode raw tekst naar veilige entities, of decodeer scraped HTML terug naar plain text.

Wanneer gebruiken

Onbetrouwbare user content embedden in HTML — encode eerst om XSS te voorkomen.
Scraped of geplakte markup decoderen die met entities arriveerde (&, ', “).
Templates ontmangelen die per ongeluk dubbel zijn ge-escaped.
Snippets voorbereiden voor JSDoc, CDATA-free XML of markdown code fences die letterlijke angle brackets nodig hebben.

Veelvoorkomende valkuilen

Encoderen is geen sanitisering. Encoderen maakt tekst veilig om te tonen; als je ook tags wil strippen heb je een HTML-sanitizer nodig.
Attributen vs body. Beide contexts vereisen dezelfde vijf karakters geëscaped, maar JavaScript event handlers zoals onclick hebben extra escaping nodig (wat deze tool niet doet — houd untrusted data uit attributen).
Decoder is permissief. Named entities (“), decimal (") en hex (") decoderen allemaal via de browser-parser, dus hij accepteert alles wat een echte browser zou accepteren.
Encode niet dubbel. Een al-encoded value encoderen geeft &amp;. Decodeer eerst als je entities in je input ziet.