Embutir conteúdo de usuário não confiável em HTML — codifique antes para evitar XSS. Decodificar markup capturado ou colado que veio com entidades ( & , ' , “ ). Desfazer templates que foram escapados em dobro por acidente. Preparar trechos para JSDoc, XML sem CDATA ou code fences de Markdown que precisam de sinais de menor/maior literais.

Encoding não é sanitização. Codificar deixa o texto seguro para exibir; se você também quer remover tags, precisa de um sanitizer HTML. Atributos vs corpo. Os dois contextos precisam dos mesmos cinco caracteres escapados, mas event handlers JavaScript como onclick precisam de escape adicional (que esta ferramenta não faz — mantenha dados não confiáveis fora de atributos). O decoder é permissivo. Entidades nomeadas ( “ ), decimais ( " ) e hex ( " ) são todas decodificadas pelo parser do browser, então aceita qualquer coisa que um browser real aceitaria. Não codifique em dobro. Codificar um valor já codificado dá & . Decodifique antes se vir entidades no input.

Encoder / Decoder HTML

Faz escape de caracteres especiais HTML ou decodifica entidades de volta. Útil para embutir input do usuário com segurança ou debugar markup escapado.

Mode Entrada

Saída

Digite uma entrada acima para ver o resultado.

Para que serve?

O HTML reserva cinco caracteres com significado estrutural — &, <, >, ", '. Colocar qualquer um deles na página como conteúdo exige escapá-los como entidades HTML para que o browser não os interprete como markup. Esta ferramenta vai nas duas direções: codifica texto puro em entidades seguras, ou decodifica HTML capturado de volta para texto plano.

Quando usar

Embutir conteúdo de usuário não confiável em HTML — codifique antes para evitar XSS.
Decodificar markup capturado ou colado que veio com entidades (&, ', “).
Desfazer templates que foram escapados em dobro por acidente.
Preparar trechos para JSDoc, XML sem CDATA ou code fences de Markdown que precisam de sinais de menor/maior literais.

Cuidados comuns

Encoding não é sanitização. Codificar deixa o texto seguro para exibir; se você também quer remover tags, precisa de um sanitizer HTML.
Atributos vs corpo. Os dois contextos precisam dos mesmos cinco caracteres escapados, mas event handlers JavaScript como onclick precisam de escape adicional (que esta ferramenta não faz — mantenha dados não confiáveis fora de atributos).
O decoder é permissivo. Entidades nomeadas (“), decimais (") e hex (") são todas decodificadas pelo parser do browser, então aceita qualquer coisa que um browser real aceitaria.
Não codifique em dobro. Codificar um valor já codificado dá &amp;. Decodifique antes se vir entidades no input.