HTML Entities Online
Koduj specjalne znaki HTML, aby wyświetlać je bezpiecznie i zapobiegać atakom XSS.
Do czego służy
Bezpieczne kodowanie HTML
Nazwane i numeryczne
Koduj do encji nazwanych (<) lub numerycznych (<). Automatyczne dekodowanie obu typów.
100% prywatny
Przetwarzanie odbywa się w Twojej przeglądarce. Twój kod ani treść nie są nigdy wysyłane na żaden serwer.
Zapobiega XSS
Koduje 5 krytycznych znaków (<, >, &, ", '), które są główną przyczyną podatności XSS.
Natychmiastowy
Wyniki pojawiają się w trakcie pisania. Bez przycisków, bez oczekiwania.
Jak to działa
Trzy kroki, żadnych komplikacji
Wklej tekst do zakodowania lub odkodowania
Wprowadź tekst ze znakami specjalnymi (<, >, &, ", '), aby je zakodować, lub tekst z encjami HTML (<, &), aby odkodować go z powrotem do zwykłego tekstu.
Wybierz tryb
Wybierz 'Koduj', aby zamienić znaki specjalne na encje HTML, lub 'Odkoduj', aby przekształcić encje HTML z powrotem na zwykły tekst.
Skopiuj wynik
Otrzymaj przetworzony tekst gotowy do wstawienia do HTML, szablonu lub bazy danych. Jedno kliknięcie, by skopiować do schowka.
FAQ
Masz pytania?
Encje HTML to sekwencje znaków reprezentujące znaki specjalne w HTML. Zaczynają się od & (ampersand) i kończą na ; (średnik). Istnieją dwa rodzaje: encje nazwane, takie jak & (dla &), < (dla <), > (dla >), " (dla "), oraz encje numeryczne dziesiętne (< dla <) lub szesnastkowe (< dla <). Standard HTML5 definiuje ponad 2000 nazwanych encji dla znaków Unicode.
HTML używa pewnych znaków jako części swojej składni: < otwiera znacznik, > go zamyka, & otwiera encję, a " wyznacza granice atrybutów. Jeśli umieścisz te znaki bezpośrednio w treści HTML bez kodowania, przeglądarka zinterpretuje je jako składnię, a nie tekst, psując znaczniki. Na przykład, aby wyświetlić tekst '<b>cześć</b>' dosłownie (z widocznymi znacznikami), musisz napisać '<b>cześć</b>' w HTML.
& reprezentuje ampersand (&). < reprezentuje znak mniejszości (<). > reprezentuje znak większości (>). " reprezentuje cudzysłów ("). ' reprezentuje apostrof ('). reprezentuje niełamliwą spację. © reprezentuje symbol praw autorskich (©). ® reprezentuje symbol zarejestrowanego znaku towarowego (®). € reprezentuje symbol euro (€). Te dziewięć encji pokrywa zdecydowaną większość codziennych przypadków użycia.
Encje nazwane (&, <, ©) są czytelniejsze dla człowieka, ale wymagają, by przeglądarka znała nazwę. Są zdefiniowane w specyfikacji HTML, a każda wersja rozszerza listę. Dziesiętne encje numeryczne (& dla &) i szesnastkowe (& dla &) działają dla dowolnego znaku Unicode bez opierania się na nazwie. Ścisłe parsery XML rozpoznają tylko 5 predefiniowanych encji nazwanych (&, <, >, ", ') i dla pozostałych wymagają encji numerycznych.
XSS (Cross-Site Scripting) pojawia się, gdy atakujący wstrzykuje kod JavaScript na stronę internetową poprzez nieoczyszczone dane. Na przykład, jeśli aplikacja wyświetla nazwę użytkownika bez kodowania, a atakujący poda nazwę '<script>stealCookies()</script>', skrypt ten zostałby wykonany. Jeśli nazwa jest zakodowana encjami HTML, wyświetla się jako '<script>stealCookies()</script>' jako nieaktywny tekst. Kodowanie encjami HTML w warstwie prezentacji jest podstawową linią obrony przed refleksyjnym i składowanym XSS w aplikacjach webowych.
Encje HTML: podstawowa ochrona przed XSS w aplikacjach webowych
Encje HTML są fundamentalną częścią specyfikacji HTML od jej najwcześniejszych wersji. Standard HTML5 (WHATWG Living Standard) definiuje 2231 nazwanych encji — od podstawowych (&, <, >) po znaki matematyczne, symbole walut i litery greckie. Ich pierwotnym celem było umożliwienie umieszczania znaków specjalnych w dokumentach HTML bez niejednoznaczności ze składnią języka znaczników. Z biegiem czasu ich znaczenie dla bezpieczeństwa aplikacji webowych stało się równie krytyczne.
XSS (Cross-Site Scripting) jest konsekwentnie jedną z najczęstszych podatności w aplikacjach webowych, pojawiając się rok po roku w rankingu OWASP Top 10. Udany atak XSS może wykradać ciasteczka sesji, wykonywać działania w imieniu użytkownika, przekierowywać na strony phishingowe lub wstrzykiwać keyloggery. Prawidłowe kodowanie encjami HTML w warstwie prezentacji jest najskuteczniejszym środkiem zaradczym przeciwko refleksyjnemu i składowanemu XSS. Nowoczesne frameworki, takie jak React, Angular i Vue.js, stosują to kodowanie automatycznie podczas renderowania zmiennych w szablonach.
Dla programistów pracujących z szablonami HTML, generowaniem e-maili, CMS-ami lub dowolnym systemem renderującym treści dostarczone przez użytkowników, prawidłowe kodowanie encjami HTML nie jest opcjonalne — to fundamentalna praktyka bezpieczeństwa. Convertir.ai oferuje to narzędzie działające w całości w przeglądarce, idealne do weryfikacji kodowania fragmentów kodu, przygotowywania treści do wstawienia w HTML lub konwertowania encji z powrotem na tekst do dalszego przetwarzania.