Escape HTML Gratuito: Codificare e Decodificare Entità HTML Online
186 utilizziRiferimento Entità HTML
| Carattere | Nome Entità | Numero Entità | Descrizione |
|---|---|---|---|
| < | < | < | Minore di, apertura tag |
| > | > | > | Maggiore di, chiusura tag |
| & | & | & | E commerciale, inizio entità |
| " | " | " | Virgolette doppie, delimitatore attributo |
| ' | ' | ' | Virgolette singole, delimitatore attributo |
|   | Spazio non interrompibile | |
| © | © | © | Simbolo copyright |
| ® | ® | ® | Marchio registrato |
Consigli sulle Entità HTML
Escape caratteri HTML
Converte < in <, > in >, & in & e " in ". Indispensabile per mostrare codice HTML come testo senza che il browser lo interpreti.
Prevenire XSS
L'escape HTML è fondamentale per la sicurezza web. Evita attacchi XSS (Cross-Site Scripting) quando si mostra contenuto fornito dagli utenti.
Tabella entità
Consulta la tabella di riferimento con i caratteri HTML più comuni e le loro entità per nome e numero.
Domande Frequenti
Cosa significa escape HTML?
L'escape HTML converte caratteri speciali come <, >, & e " nelle loro entità HTML (<, >, &, "). Così il browser li mostra come testo invece di interpretarli come codice.
Perché è importante per la sicurezza?
Previene attacchi XSS (Cross-Site Scripting). Se mostri testo degli utenti senza escape, un attaccante potrebbe iniettare codice JavaScript malevolo.
Cosa sono le entità HTML?
Sono codici che rappresentano caratteri speciali: < per <, & per &, © per ©. Possono avere formato nome (&) o numerico (&).
L'escape HTML protegge da tutti gli attacchi XSS?
Da solo no. L'escape gestisce il contesto di output, ma gli XSS avvengono anche tramite esecuzione JavaScript, iniezione CSS o attacchi basati su attributi. Servono intestazioni Content Security Policy e validazione dell'input. Considera l'escape come un livello, non una soluzione universale. Abbinalo a una CSP che blocchi gli script inline.
È possibile escludere solo le parentesi angolari senza toccare gli altri caratteri?
Il nostro strumento non supporta l'escape selettivo, e c'è un buon motivo. Un escape parziale lascia falle sfruttabili. Supponi di escludere < e > ma non &. Un utente che inserisce <script> potrebbe generare un tag reale se il tuo database lo codifica due volte. Fai un unico giro di escape completo e poi fidati dell'output. Eviterai casi limite fastidiosi.
Cosa succede se incollo HTML già escapato nel campo di escape?
Lo strumento lo escapherà di nuovo, trasformando `&` in `&amp;`. Di solito non è quello che vuoi. Controlla sempre che l'input siano caratteri HTML grezzi, non entità. In caso di dubbio, incolla un piccolo campione e dai un'occhiata all'output. Questo errore è comune quando si copia testo da un CMS che lo ha già escapato una volta.
Perché il browser mostra tag HTML non elaborati quando uso <code>innerHTML</code> per inserire testo?
Stai passando caratteri <code><</code> e <code>></code> grezzi tramite JavaScript. Con <code>innerHTML</code>, il browser li interpreta come markup, non come testo. Escapa prima la stringa — questo converte <code><</code> in <code><</code> e <code>></code> in <code>></code>. Poi assegna la versione escapata a <code>innerHTML</code>. Il browser mostrerà i tag come caratteri letterali. Salta questo passaggio e ti ritroverai con layout rotti o una falla XSS.
Come Fare l'Escape HTML
- Incolla il testo o codice HTML nel campo di input
- Clicca Escape per convertire i caratteri speciali in entità
- Clicca Unescape per convertire le entità in caratteri
- Anteprima per vedere come viene renderizzato l'HTML
- Consulta la tabella di riferimento delle entità HTML