DevKitBase
工具关于隐私

在放入标记示例前先对文本进行 HTML 编码

在文档中显示 `<script>` 而不进行编码,演示就会变成 XSS 演示。转义 `< > & " '`(策略列在页面上)。

字符: 26
输入
输出

使用时机

用于博客片段、电子邮件 HTML 或教学实体,使标记不会执行。

示例

输入
<div class="x">A & B</div>
输出
&lt;div class=&quot;x&quot;&gt;A &amp; B&lt;/div&gt;
输入
<b>
输出
&lt;b&gt;

工作原理

按实体映射替换(&、<、>、引号等)。并非在所有上下文中都能完全抵御 XSS。

常见陷阱

  • 编码不等于在所有上下文中净化脚本。
  • 属性上下文和文本上下文的规则不同。
  • 不要随意与 JSON 转义混用。

区别说明

HTML 实体用于标记;JSON 转义用于 JSON 字符串;URL 编码用于查询/路径。

常见问题

这足以阻止我应用中的 XSS 吗?
编码在 HTML 文本上下文中有效,但应用需要上下文的编码框架。
编码所有 Unicode?
数值实体可选;默认使用常见的 XML/HTML 集。
反向操作?
HTML 解码。
与 JSON 转义的区别?
不同的语言/目标。

相关工具

在浏览器中运行。不上传任何内容。非安全产品——哈希和JWT解码仅用于调试,不用于密码存储或身份验证建议。