HTML Entities Online
Escape caracteres especiais do HTML para exibi-los com segurança e prevenir ataques XSS.
Para que serve
Escape HTML com segurança
Nomeadas e numéricas
Codifique para entidades nomeadas ou numéricas. Decodifica ambos os tipos automaticamente.
100% privado
O processamento acontece no seu navegador. Seu código ou conteúdo nunca é enviado a nenhum servidor.
Previne XSS
Faz escape dos 5 caracteres críticos que são a principal causa de vulnerabilidades XSS.
Instantâneo
Os resultados aparecem conforme você digita. Sem botões, sem espera.
Como funciona
Três passos, sem complicação
Cole o texto para codificar ou decodificar
Insira texto com caracteres especiais como menor que, maior que, ampersand e aspas para codificar, ou texto com entidades HTML para decodificar de volta ao texto simples.
Escolha o modo
Selecione Codificar para escapar caracteres especiais em entidades HTML, ou Decodificar para converter entidades HTML de volta ao texto simples.
Copie o resultado
Obtenha o texto processado pronto para inserir no seu HTML, template ou banco de dados. Um clique para copiar para a área de transferência.
Perguntas frequentes
Ficou com dúvidas?
Entidades HTML são sequências de caracteres que representam caracteres especiais em HTML. Elas começam com ampersand e terminam com ponto e vírgula. Existem dois tipos: entidades nomeadas como amp (para o ampersand), lt (para o menor que) e gt (para o maior que), e entidades numéricas em decimal ou hexadecimal. O padrão HTML5 define mais de 2.000 entidades nomeadas para caracteres Unicode.
O HTML usa certos caracteres como parte de sua sintaxe: o sinal de menor que inicia uma tag, o de maior que a fecha, o ampersand inicia uma entidade e as aspas delimitam atributos. Se você incluir esses caracteres diretamente no conteúdo HTML sem escape, o navegador os interpreta como sintaxe, quebrando a marcação. Por exemplo, para exibir o texto com tags visíveis, você precisa usar as entidades correspondentes no HTML.
amp representa o ampersand. lt representa o sinal de menor que. gt representa o sinal de maior que. quot representa as aspas duplas. apos representa o apóstrofo. nbsp representa o espaço sem quebra. copy representa o símbolo de copyright. reg representa a marca registrada. euro representa o símbolo do euro. Essas nove cobrem a grande maioria dos casos de uso do dia a dia.
Entidades nomeadas são mais legíveis para humanos, mas exigem que o navegador conheça o nome. Elas são definidas na especificação HTML e cada versão expande a lista. Entidades numéricas decimais e hexadecimais funcionam para qualquer caractere Unicode sem depender de um nome. Parsers XML estritos reconhecem apenas 5 entidades nomeadas predefinidas (amp, lt, gt, quot e apos) e exigem entidades numéricas para todas as demais.
XSS (Cross-Site Scripting) ocorre quando um atacante injeta código JavaScript em uma página web por meio de dados não sanitizados. Por exemplo, se uma aplicação exibe um nome de usuário sem escape e o atacante usa um script malicioso como nome, esse script seria executado. Se o nome for escapado com entidades HTML, ele é exibido como texto inerte. O escape de entidades HTML na camada de apresentação é a principal defesa contra XSS refletido e armazenado em aplicações web.
Entidades HTML: a defesa fundamental contra XSS em aplicações web
As entidades HTML fazem parte da especificação HTML desde suas versões mais antigas. O padrão HTML5 (WHATWG Living Standard) define 2.231 entidades nomeadas, das mais básicas (amp, lt, gt) a caracteres matemáticos, símbolos de moeda e letras gregas. Seu objetivo original era permitir que caracteres especiais fossem incluídos em documentos HTML sem ambiguidade com a sintaxe da linguagem de marcação. Com o tempo, sua importância para a segurança web se tornou igualmente crítica.
O XSS (Cross-Site Scripting) aparece consistentemente entre as vulnerabilidades mais prevalentes em aplicações web, figurando ano após ano no OWASP Top 10. Um ataque XSS bem-sucedido pode roubar cookies de sessão, executar ações em nome do usuário, redirecionar para sites de phishing ou injetar keyloggers. O escape correto de entidades HTML na camada de apresentação é a contramedida mais eficaz contra XSS refletido e armazenado. Frameworks modernos como React, Angular e Vue.js aplicam esse escape automaticamente ao renderizar variáveis em templates.
Para desenvolvedores que trabalham com templates HTML, geração de e-mails, CMSs ou qualquer sistema que renderiza conteúdo fornecido por usuários, o escape correto de entidades HTML não é opcional — é uma prática de segurança fundamental. O Convertir.ai oferece essa ferramenta rodando inteiramente no navegador, ideal para verificar o escape de trechos de código, preparar conteúdo para inserção em HTML ou converter entidades de volta ao texto para processamento adicional.