DocumentosImágenesMediaHerramientas PDF

Codificar HTML Entities

Escapa caracteres especiales HTML para mostrarlos de forma segura y prevenir ataques XSS.

Procesado en tu navegador — ningún texto se envía a servidores

Para qué sirve

Escapa HTML de forma segura

Nombradas y numéricas

Codifica a entidades nombradas (<) o numéricas (<). Decodifica ambos tipos automáticamente.

100% privado

El procesamiento ocurre en tu navegador. Tu código o contenido nunca se envía a ningún servidor.

Previene XSS

Escapa los 5 caracteres críticos (<, >, &, ", ') que son la causa principal de vulnerabilidades XSS.

Instantáneo

El resultado aparece mientras escribes. Sin botones, sin esperas.

Cómo funciona

Tres pasos, sin complicaciones

1

Pega el texto a codificar o decodificar

Introduce texto con caracteres especiales (<, >, &, ", ') para codificar, o texto con entidades HTML (&lt;, &amp;) para decodificar al texto original.

2

Elige el modo

Selecciona 'Codificar' para escapar caracteres especiales a entidades HTML, o 'Decodificar' para convertir entidades HTML de vuelta a texto plano.

3

Copia el resultado

Obtén el texto procesado listo para insertar en tu HTML, plantilla o base de datos. Un clic para copiar al portapapeles.

Preguntas frecuentes

¿Tienes dudas?

Las HTML entities (entidades HTML) son secuencias de caracteres que representan caracteres especiales en HTML. Empiezan con & (ampersand) y terminan con ; (punto y coma). Existen dos tipos: entidades nombradas como &amp; (para &), &lt; (para <), &gt; (para >) y &quot; (para "), y entidades numéricas decimales (&#60; para <) o hexadecimales (&#x3C; para <). El estándar HTML5 define más de 2.000 entidades nombradas para caracteres Unicode.

HTML usa ciertos caracteres como parte de su sintaxis: < inicia una etiqueta, > la cierra, & inicia una entidad, y " delimita atributos. Si incluyes estos caracteres directamente en el contenido HTML sin escapar, el navegador los interpreta como sintaxis en lugar de como texto, rompiendo el marcado. Por ejemplo, para mostrar el texto '<b>hola</b>' literalmente (con las etiquetas visibles), debes escribir '&lt;b&gt;hola&lt;/b&gt;' en el HTML.

&amp; representa el ampersand (&). &lt; representa el signo menor que (<). &gt; representa el signo mayor que (>). &quot; representa la comilla doble ("). &apos; representa el apóstrofe ('). &nbsp; representa el espacio de no separación (non-breaking space). &copy; representa el símbolo de copyright (©). &reg; representa el símbolo de marca registrada (®). &euro; representa el símbolo del euro (€). Estas nueve cubren la gran mayoría de los casos de uso cotidianos.

Las entidades nombradas (&amp;, &lt;, &copy;) son más legibles para humanos pero requieren que el navegador conozca el nombre. Están definidas en la especificación HTML y cada versión amplía la lista. Las entidades numéricas decimales (&#38; para &) y hexadecimales (&#x26; para &) funcionan para cualquier carácter Unicode sin depender del nombre. Los parsers XML estrictos solo reconocen 5 entidades nombradas predefinidas (&amp;, &lt;, &gt;, &quot;, &apos;) y requieren entidades numéricas para el resto.

XSS (Cross-Site Scripting) ocurre cuando un atacante inyecta código JavaScript en una página web a través de datos no sanitizados. Por ejemplo, si una aplicación muestra el nombre de usuario sin escapar y el atacante usa el nombre '<script>robarCookies()</script>', ese script se ejecutaría. Si el nombre se escapa con HTML entities, se muestra '&lt;script&gt;robarCookies()&lt;/script&gt;' como texto inerte. El escaping de HTML entities en la capa de presentación es la primera línea de defensa contra XSS en aplicaciones web.

HTML entities: la defensa fundamental contra XSS en aplicaciones web

Las HTML entities son una parte fundamental de la especificación HTML desde sus primeras versiones. El estándar HTML5 (WHATWG Living Standard) define 2.231 entidades nombradas, desde las básicas (&amp;, &lt;, &gt;) hasta caracteres matemáticos, símbolos de monedas y letras griegas. Su propósito original era permitir incluir caracteres especiales en documentos HTML sin ambigüedad con la sintaxis del lenguaje de marcado. Con el tiempo, su importancia en seguridad web se ha vuelto igual de crítica.

XSS (Cross-Site Scripting) es consistentemente una de las vulnerabilidades más prevalentes en aplicaciones web, apareciendo año tras año en el OWASP Top 10. Un ataque XSS exitoso puede robar cookies de sesión, realizar acciones en nombre del usuario, redirigir a sitios de phishing, o inyectar keyloggers. El escapado correcto de HTML entities en la capa de presentación es la contramedida más efectiva para XSS reflejado y almacenado. Frameworks modernos como React, Angular y Vue.js aplican este escapado automáticamente al renderizar variables en plantillas.

Para desarrolladores que trabajan con plantillas HTML, generación de correos electrónicos, CMSs, o cualquier sistema que renderice contenido de usuarios, el escapado correcto de HTML entities no es opcional — es una práctica de seguridad fundamental. Convertir.ai ofrece esta herramienta ejecutada completamente en el navegador, ideal para verificar el escapado de fragmentos de código, preparar contenido para insertar en HTML, o convertir entidades de vuelta a texto para su procesamiento.

Conversiones relacionadas

¿Necesitas otra conversión?

PDF a WordConvierte PDF a Word online gratis. Sin registro, sin marca ...PDF a ExcelConvierte tablas de PDF a Excel online gratis. Sin registro,...PDF a JPGConvierte cada página de tu PDF a imagen JPG de alta calidad...Word a PDFConvierte documentos Word a PDF online gratis. Formato profe...PDF a PowerPointConvierte presentaciones PDF a diapositivas PowerPoint edita...Comprimir PDFReduce el tamaño de tu PDF sin perder calidad. Gratis, sin r...PDF a TextoExtrae texto plano de cualquier PDF. Gratis, sin registro, s...OCR de PDFExtrae texto editable de documentos PDF escaneados con OCR. ...