Escapar HTML Gratis: Codificar y Decodificar Entidades HTML Online
186 usosReferencia de entidades HTML
| Carácter | Nombre de entidad | Número de entidad | Descripción |
|---|---|---|---|
| < | < | < | Menor que, apertura de etiqueta |
| > | > | > | Mayor que, cierre de etiqueta |
| & | & | & | Ampersand, inicio de entidad |
| " | " | " | Comilla doble, delimitador de atributo |
| ' | ' | ' | Comilla simple, delimitador de atributo |
|   | Espacio no separable | |
| © | © | © | Símbolo de copyright |
| ® | ® | ® | Marca registrada |
Consejos sobre Entidades HTML
Escapar caracteres HTML
Convierte < a <, > a >, & a & y " a ". Imprescindible para mostrar código HTML como texto sin que el navegador lo interprete.
Prevenir XSS
Escapar HTML es fundamental para la seguridad web. Evita ataques XSS (Cross-Site Scripting) al mostrar contenido proporcionado por usuarios.
Tabla de entidades
Consulta la tabla de referencia con los caracteres HTML más comunes y sus entidades con nombre y número.
Preguntas frecuentes
¿Qué significa escapar HTML?
Escapar HTML convierte caracteres especiales como <, >, & y " a sus entidades HTML (<, >, &, "). Así el navegador los muestra como texto en vez de interpretarlos como código.
¿Por qué es importante para la seguridad?
Previene ataques XSS (Cross-Site Scripting). Si muestras texto de usuarios sin escapar, un atacante podría inyectar código JavaScript malicioso.
¿Qué son las entidades HTML?
Son códigos que representan caracteres especiales: < para <, & para &, © para ©. Pueden tener formato de nombre (&) o numérico (&).
¿El escape HTML protege contra todos los ataques XSS?
Por sí solo no. El escape maneja el contexto de salida, pero el XSS también ocurre mediante ejecución de JavaScript, inyección CSS o ataques basados en atributos. Necesitas encabezados de Content Security Policy y validación de entrada. Piensa en el escape como una capa, no una bala de plata. Combínalo con una CSP que bloquee scripts en línea.
¿Hay manera de escapar solo los ángulos sin tocar otros caracteres?
Nuestra herramienta no admite escape selectivo, y por buenas razones. Escapar parcialmente deja huecos que los atacantes pueden explotar. Supón que escapas < y > pero dejas &. Un usuario que escriba <script> podría generar una etiqueta si tu base de datos lo codifica doble. Mejor ejecuta todo el escape completo una vez y confía en la salida. Así te ahorras casos extraños.
¿Qué pasa si pego HTML ya escapado en el campo de escape?
La herramienta lo escapará de nuevo, convirtiendo `&` en `&amp;`. Generalmente eso no es lo que necesitas. Revisa siempre que tu entrada sean caracteres HTML crudos, no entidades. Si tienes dudas, pega una muestra pequeña primero y mira el resultado. Este error es común al copiar texto desde un CMS que ya lo escapó una vez.
¿Por qué mi navegador muestra etiquetas HTML sin procesar cuando uso <code>innerHTML</code> para insertar texto?
Estás pasando caracteres <code><</code> y <code>></code> en bruto a través de JavaScript. Con <code>innerHTML</code>, el navegador los interpreta como código, no como texto. Escapa tu cadena primero — eso convierte <code><</code> en <code><</code> y <code>></code> en <code>></code>. Luego asigna la versión escapada a <code>innerHTML</code>. El navegador mostrará las etiquetas como caracteres literales. Si te saltas esto, verás diseños rotos o un agujero XSS.
Cómo Escapar HTML
- Pega tu texto o código HTML en el campo de entrada
- Haz clic en Escapar para convertir caracteres especiales a entidades
- Haz clic en Desescapar para convertir entidades a caracteres
- Vista previa para ver cómo se renderiza el HTML
- Consulta la tabla de entidades HTML de referencia