HTML-сутності кодувальник

Перетворення спеціальних символів у HTML-сутності для безпечного відображення в HTML.

0 Символів

Що таке кодування HTML-сутностей?

Кодування HTML-сутностей перетворює спеціальні символи в HTML-сутності (текстові представлення), які браузери можуть безпечно відображати. Це запобігає інтерпретації символів з особливим значенням в HTML як коду.

Навіщо потрібне кодування HTML-сутностей?

  • Запобігання XSS атакам: Кодування вводу користувача запобігає вразливостям міжсайтового скриптингу.
  • Безпечне відображення коду: Відображення HTML, XML або фрагментів коду без їх виконання.
  • Спеціальні символи: Відображення символів, таких як <, >, & та ", які мають особливе значення в HTML.
  • Створений користувачем вміст: Безпечне відображення вмісту, наданого користувачами.
  • Email шаблони: Забезпечення правильного відображення спеціальних символів в HTML email.

Поширені приклади HTML-сутностей

  • < стає &lt;
  • > стає &gt;
  • & стає &amp;
  • " стає &quot;
  • ' стає &#39;

Коли використовувати кодування HTML-сутностей

Завжди кодуйте введення користувача перед його відображенням на веб-сторінках. Це важливо для безпеки та запобігання XSS атакам. При відображенні прикладів коду на веб-сайтах, кодуйте HTML, щоб запобігти його інтерпретації браузером як фактичних HTML елементів.

Кодування HTML проти Екранування

Кодування HTML та екранування HTML відносяться до того самого процесу: перетворення спеціальних символів у їхні еквіваленти-сутності. Цей інструмент надає простий спосіб виконання кодування HTML без програмування. If you need to decode HTML entities back to text, use our HTML Entity Decoder tool.

Кодування HTML-сутностей у мовах програмування

Більшість мов надають кодування HTML-сутностей для запобігання XSS-атакам. Ось приклади:

PHP

$encoded = htmlspecialchars($data, ENT_QUOTES, 'UTF-8');

JavaScript

// Browser: Use textContent instead of innerHTML
element.textContent = data;

JavaScript (Node.js)

// Node.js with library
const he = require('he');
const encoded = he.encode(data);

Python

import html
encoded = html.escape(data)

Go

import "html"
encoded := html.EscapeString(data)

Java

import org.apache.commons.text.StringEscapeUtils;
String encoded = StringEscapeUtils.escapeHtml4(data);

Ruby

require 'cgi'
encoded = CGI.escapeHTML(data)

C#

using System.Web;
string encoded = HttpUtility.HtmlEncode(data);