Nessuno strumento usato di recente
Nessuno strumento preferito ancora

Escape HTML Gratuito: Codificare e Decodificare Entità HTML Online

186 utilizzi

Riferimento Entità HTML

CarattereNome EntitàNumero EntitàDescrizione
<&lt;&#60;Minore di, apertura tag
>&gt;&#62;Maggiore di, chiusura tag
&&amp;&#38;E commerciale, inizio entità
"&quot;&#34;Virgolette doppie, delimitatore attributo
'&apos;&#39;Virgolette singole, delimitatore attributo
 &nbsp;&#160;Spazio non interrompibile
©&copy;&#169;Simbolo copyright
®&reg;&#174;Marchio registrato

Consigli sulle Entità HTML

Escape caratteri HTML
Converte < in &lt;, > in &gt;, & in &amp; e " in &quot;. Indispensabile per mostrare codice HTML come testo senza che il browser lo interpreti.
Prevenire XSS
L'escape HTML è fondamentale per la sicurezza web. Evita attacchi XSS (Cross-Site Scripting) quando si mostra contenuto fornito dagli utenti.
Tabella entità
Consulta la tabella di riferimento con i caratteri HTML più comuni e le loro entità per nome e numero.

Domande Frequenti

Q Cosa significa escape HTML?
A L'escape HTML converte caratteri speciali come <, >, & e " nelle loro entità HTML (&lt;, &gt;, &amp;, &quot;). Così il browser li mostra come testo invece di interpretarli come codice.
Q Perché è importante per la sicurezza?
A Previene attacchi XSS (Cross-Site Scripting). Se mostri testo degli utenti senza escape, un attaccante potrebbe iniettare codice JavaScript malevolo.
Q Cosa sono le entità HTML?
A Sono codici che rappresentano caratteri speciali: &lt; per <, &amp; per &, &copy; per ©. Possono avere formato nome (&amp;) o numerico (&#38;).
Q L'escape HTML protegge da tutti gli attacchi XSS?
A Da solo no. L'escape gestisce il contesto di output, ma gli XSS avvengono anche tramite esecuzione JavaScript, iniezione CSS o attacchi basati su attributi. Servono intestazioni Content Security Policy e validazione dell'input. Considera l'escape come un livello, non una soluzione universale. Abbinalo a una CSP che blocchi gli script inline.
Q È possibile escludere solo le parentesi angolari senza toccare gli altri caratteri?
A Il nostro strumento non supporta l'escape selettivo, e c'è un buon motivo. Un escape parziale lascia falle sfruttabili. Supponi di escludere < e > ma non &. Un utente che inserisce &lt;script&gt; potrebbe generare un tag reale se il tuo database lo codifica due volte. Fai un unico giro di escape completo e poi fidati dell'output. Eviterai casi limite fastidiosi.
Q Cosa succede se incollo HTML già escapato nel campo di escape?
A Lo strumento lo escapherà di nuovo, trasformando `&amp;` in `&amp;amp;`. Di solito non è quello che vuoi. Controlla sempre che l'input siano caratteri HTML grezzi, non entità. In caso di dubbio, incolla un piccolo campione e dai un'occhiata all'output. Questo errore è comune quando si copia testo da un CMS che lo ha già escapato una volta.
Q Perché il browser mostra tag HTML non elaborati quando uso <code>innerHTML</code> per inserire testo?
A Stai passando caratteri <code><</code> e <code>></code> grezzi tramite JavaScript. Con <code>innerHTML</code>, il browser li interpreta come markup, non come testo. Escapa prima la stringa — questo converte <code><</code> in <code>&lt;</code> e <code>></code> in <code>&gt;</code>. Poi assegna la versione escapata a <code>innerHTML</code>. Il browser mostrerà i tag come caratteri letterali. Salta questo passaggio e ti ritroverai con layout rotti o una falla XSS.

Come Fare l'Escape HTML

Strumenti Correlati