HTML Encoder / Decoder
Escapuj HTML špeciálne znaky alebo dekóduj entity späť. Užitočné na bezpečné vkladanie user inputu alebo debugging encoded markupu.
Zadaj vstup vyššie, aby si videl výsledok.
Vytvoril JXXR1 · ♥ Sponzorovať · ☕ Kúp mi kávu
Načo to slúži?
Špeciálne HTML znaky (<, >, &, ", ') majú v HTML syntaktický význam. Ak ich potrebuješ zobraziť doslovne (alebo vložiť user input bez rizika XSS), musíš ich „escapovať" na entity (<, >, …). Tento nástroj robí oba smery.
Kedy to použiť
- Vkladanie blokov kódu (HTML / XML) do dokumentácie ako text.
- Sanitizácia user inputu pred zobrazením (proti XSS).
- Debug encoded markupu, ktorý ti niekto poslal v správe.
- Príprava HTML šablóny, kde znaky
<chceš zobraziť doslovne.
Časté chyby
- Toto sám o sebe XSS nezabráni. Escape je nutný, ale nie postačujúci. Potrebuješ aj CSP, sanitizáciu atribútov, kontextovo-správny escape (JS, URL, CSS).
- Atribúty potrebujú iný escape. V
title="..."musíš escapovať aj úvodzovky. - Numerické entities.
<=<. Decimal a hex (<) sú obe validné. - Named entities. Niektoré (
©) sú stabilné, ale nepoužívaj exotické (℗) ktoré nepodporujú všetky parsery.