DevKitBase
WerkzeugeÜber unsDatenschutz

HTML-codieren Sie Text, bevor Sie ihn in Markup-Beispiele einfügen

Die Darstellung von `<script>` in einem Dokument ohne Codierung führt dazu, dass Demos zu XSS-Demos werden. Escapen Sie `< > & " '` (Richtlinie auf der Seite).

Zeichen: 26
Eingabe
Ausgabe

Wann verwenden?

Blog-Ausschnitte, E-Mail-HTML oder zum Erlernen von Entitäten, damit Markup nicht ausgeführt wird.

Beispiele

Eingabe
<div class="x">A & B</div>
Ausgabe
&lt;div class=&quot;x&quot;&gt;A &amp; B&lt;/div&gt;
Eingabe
<b>
Ausgabe
&lt;b&gt;

So funktioniert's

Ersetzt gemäß Entity-Tabelle (&, <, >, Anführungszeichen usw.). Kein vollständiger Schutz gegen XSS in jedem Kontext.

Häufige Fallstricke

  • Kodierung ≠ Bereinigung von Skripten in jeder Umgebung.
  • Regeln für Attribut- vs. Textkontext unterscheiden sich.
  • Nicht leichtfertig mit JSON-Escape vermischen.

Wie unterscheidet sich das

HTML-Entitäten für Markup; JSON-Escape für JSON-Zeichenfolgen; URL-Kodierung für Abfrage/Pfad.

FAQ

Reicht das aus, um XSS in meiner App zu verhindern?
Codierung hilft im HTML-Text-Kontext; Apps benötigen kontextabhängige Codierungs-Frameworks.
Alle Unicode-Zeichen codieren?
Numerische Entitäten optional; Standard ist der übliche XML/HTML-Satz.
Umkehrung?
HTML Decode.
Unterschied zu JSON-Escape?
Verschiedene Sprachen/Ziele.

Verwandte Werkzeuge

Läuft im Browser. Nichts wird hochgeladen. Kein Sicherheitsprodukt — Hashes und JWT-Dekodierung dienen der Fehlersuche, nicht der Passwortspeicherung oder Authentifizierungsberatung.