HTML Entities Online
Esegui l'escape dei caratteri HTML speciali per mostrarli in modo sicuro e prevenire gli attacchi XSS.
A cosa serve
Esegui l'escape dell'HTML in modo sicuro
Con nome e numeriche
Codifica in entita con nome (<) o numeriche (<). Decodifica entrambi i tipi automaticamente.
100% privato
L'elaborazione avviene nel tuo browser. Il tuo codice o contenuto non viene mai inviato ad alcun server.
Previene XSS
Esegue l'escape dei 5 caratteri critici (<, >, &, virgolette, apostrofo) che sono la causa principale delle vulnerabilita XSS.
Istantaneo
I risultati appaiono mentre scrivi. Nessun pulsante, nessuna attesa.
Come funziona
Tre passaggi, senza complicazioni
Incolla il testo da codificare o decodificare
Inserisci testo con caratteri speciali (<, >, &) per codificarlo, oppure testo con entita HTML (<, &) per decodificarlo in testo semplice.
Scegli la modalita
Seleziona Codifica per trasformare i caratteri speciali in entita HTML, oppure Decodifica per convertire le entita HTML in testo semplice.
Copia il risultato
Ottieni il testo elaborato pronto per essere inserito nel tuo HTML, nel tuo template o nel tuo database. Un clic per copiare negli appunti.
FAQ
Hai delle domande?
Le entita HTML sono sequenze di caratteri che rappresentano caratteri speciali in HTML. Iniziano con & (e commerciale) e terminano con ; (punto e virgola). Esistono due tipi: entita con nome come & (per &), < (per <), > (per >) e " (per le virgolette doppie), ed entita numeriche in decimale (< per <) o in esadecimale (< per <). Lo standard HTML5 definisce oltre 2.000 entita con nome per i caratteri Unicode.
HTML usa certi caratteri come parte della sua sintassi: < apre un tag, > lo chiude, & inizia un'entita e le virgolette doppie delimitano gli attributi. Se includi questi caratteri direttamente nel contenuto HTML senza eseguire l'escape, il browser li interpreta come sintassi invece che come testo, compromettendo il markup. Ad esempio, per mostrare il testo <b>ciao</b> letteralmente (con i tag visibili), devi scrivere <b>ciao</b> nell'HTML.
& rappresenta la e commerciale (&). < rappresenta il segno minore di (<). > rappresenta il segno maggiore di (>). " rappresenta le virgolette doppie. ' rappresenta l'apostrofo ('). rappresenta lo spazio unificatore. © rappresenta il simbolo del copyright. ® rappresenta il marchio registrato. € rappresenta il simbolo dell'euro. Queste nove coprono la stragrande maggioranza dei casi d'uso quotidiani.
Le entita con nome (&, <, ©) sono piu leggibili per gli esseri umani ma richiedono che il browser conosca il nome. Sono definite nella specifica HTML e ogni versione ne amplia l'elenco. Le entita numeriche decimali (& per &) ed esadecimali (& per &) funzionano per qualsiasi carattere Unicode senza dipendere da un nome. I parser XML rigorosi riconoscono solo 5 entita con nome predefinite (&, <, >, ", ') e richiedono entita numeriche per tutte le altre.
XSS (Cross-Site Scripting) si verifica quando un attaccante inietta codice JavaScript in una pagina web tramite dati non sanificati. Ad esempio, se un'applicazione mostra un nome utente senza eseguire l'escape e l'attaccante usa il nome <script>rubaCookies()</script>, quello script verrebbe eseguito. Se il nome viene trasformato con le entita HTML, viene mostrato come <script>rubaCookies()</script> come testo inerte. L'escape tramite entita HTML nel livello di presentazione e la principale difesa contro XSS riflesso e memorizzato nelle applicazioni web.
Entita HTML: la difesa fondamentale contro XSS nelle applicazioni web
Le entita HTML sono una parte fondamentale della specifica HTML fin dalle sue prime versioni. Lo standard HTML5 (WHATWG Living Standard) definisce 2.231 entita con nome, da quelle di base (&, <, >) ai caratteri matematici, ai simboli di valuta e alle lettere greche. Il loro scopo originale era permettere di includere caratteri speciali nei documenti HTML senza ambiguita con la sintassi del linguaggio di markup. Col tempo, la loro importanza nella sicurezza web e diventata altrettanto critica.
XSS (Cross-Site Scripting) e costantemente una delle vulnerabilita piu diffuse nelle applicazioni web, comparendo anno dopo anno nell'OWASP Top 10. Un attacco XSS riuscito puo rubare cookie di sessione, eseguire azioni per conto dell'utente, reindirizzare a siti di phishing o iniettare keylogger. Il corretto escape tramite entita HTML nel livello di presentazione e la contromisura piu efficace contro XSS riflesso e memorizzato. I framework moderni come React, Angular e Vue.js applicano questo escape automaticamente durante il rendering delle variabili nei template.
Per gli sviluppatori che lavorano con template HTML, generazione di email, CMS o qualsiasi sistema che renderizza contenuti degli utenti, il corretto escape tramite entita HTML non e facoltativo: e una pratica di sicurezza fondamentale. Convertir.ai offre questo strumento eseguito interamente nel browser, ideale per verificare l'escape dei frammenti di codice, preparare contenuti da inserire in HTML o convertire entita in testo per ulteriori elaborazioni.