No hay herramientas usadas recientemente
Aún no hay herramientas favoritas

Escapar HTML Gratis: Codificar y Decodificar Entidades HTML Online

186 usos

Referencia de entidades HTML

CarácterNombre de entidadNúmero de entidadDescripción
<&lt;&#60;Menor que, apertura de etiqueta
>&gt;&#62;Mayor que, cierre de etiqueta
&&amp;&#38;Ampersand, inicio de entidad
"&quot;&#34;Comilla doble, delimitador de atributo
'&apos;&#39;Comilla simple, delimitador de atributo
 &nbsp;&#160;Espacio no separable
©&copy;&#169;Símbolo de copyright
®&reg;&#174;Marca registrada

Consejos sobre Entidades HTML

Escapar caracteres HTML
Convierte < a &lt;, > a &gt;, & a &amp; y " a &quot;. Imprescindible para mostrar código HTML como texto sin que el navegador lo interprete.
Prevenir XSS
Escapar HTML es fundamental para la seguridad web. Evita ataques XSS (Cross-Site Scripting) al mostrar contenido proporcionado por usuarios.
Tabla de entidades
Consulta la tabla de referencia con los caracteres HTML más comunes y sus entidades con nombre y número.

Preguntas frecuentes

Q ¿Qué significa escapar HTML?
A Escapar HTML convierte caracteres especiales como <, >, & y " a sus entidades HTML (&lt;, &gt;, &amp;, &quot;). Así el navegador los muestra como texto en vez de interpretarlos como código.
Q ¿Por qué es importante para la seguridad?
A Previene ataques XSS (Cross-Site Scripting). Si muestras texto de usuarios sin escapar, un atacante podría inyectar código JavaScript malicioso.
Q ¿Qué son las entidades HTML?
A Son códigos que representan caracteres especiales: &lt; para <, &amp; para &, &copy; para ©. Pueden tener formato de nombre (&amp;) o numérico (&#38;).
Q ¿El escape HTML protege contra todos los ataques XSS?
A Por sí solo no. El escape maneja el contexto de salida, pero el XSS también ocurre mediante ejecución de JavaScript, inyección CSS o ataques basados en atributos. Necesitas encabezados de Content Security Policy y validación de entrada. Piensa en el escape como una capa, no una bala de plata. Combínalo con una CSP que bloquee scripts en línea.
Q ¿Hay manera de escapar solo los ángulos sin tocar otros caracteres?
A Nuestra herramienta no admite escape selectivo, y por buenas razones. Escapar parcialmente deja huecos que los atacantes pueden explotar. Supón que escapas < y > pero dejas &. Un usuario que escriba &lt;script&gt; podría generar una etiqueta si tu base de datos lo codifica doble. Mejor ejecuta todo el escape completo una vez y confía en la salida. Así te ahorras casos extraños.
Q ¿Qué pasa si pego HTML ya escapado en el campo de escape?
A La herramienta lo escapará de nuevo, convirtiendo `&amp;` en `&amp;amp;`. Generalmente eso no es lo que necesitas. Revisa siempre que tu entrada sean caracteres HTML crudos, no entidades. Si tienes dudas, pega una muestra pequeña primero y mira el resultado. Este error es común al copiar texto desde un CMS que ya lo escapó una vez.
Q ¿Por qué mi navegador muestra etiquetas HTML sin procesar cuando uso <code>innerHTML</code> para insertar texto?
A Estás pasando caracteres <code><</code> y <code>></code> en bruto a través de JavaScript. Con <code>innerHTML</code>, el navegador los interpreta como código, no como texto. Escapa tu cadena primero — eso convierte <code><</code> en <code>&lt;</code> y <code>></code> en <code>&gt;</code>. Luego asigna la versión escapada a <code>innerHTML</code>. El navegador mostrará las etiquetas como caracteres literales. Si te saltas esto, verás diseños rotos o un agujero XSS.

Cómo Escapar HTML

Herramientas relacionadas