Escapar HTML Grátis: Codificar e Decodificar Entidades HTML Online
186 usosReferência de Entidades HTML
| Caractere | Nome da Entidade | Número da Entidade | Descrição |
|---|---|---|---|
| < | < | < | Menor que, abertura de tag |
| > | > | > | Maior que, fechamento de tag |
| & | & | & | E comercial, início de entidade |
| " | " | " | Aspas duplas, delimitador de atributo |
| ' | ' | ' | Aspas simples, delimitador de atributo |
|   | Espaço não quebrável | |
| © | © | © | Símbolo de copyright |
| ® | ® | ® | Marca registrada |
Dicas sobre Entidades HTML
Escapar caracteres HTML
Converte < em <, > em >, & em & e " em ". Essencial para mostrar código HTML como texto sem que o navegador o interprete.
Prevenir XSS
Escapar HTML é fundamental para segurança web. Evita ataques XSS (Cross-Site Scripting) ao exibir conteúdo fornecido por usuários.
Tabela de entidades
Consulte a tabela de referência com os caracteres HTML mais comuns e suas entidades por nome e número.
Perguntas Frequentes
O que significa escapar HTML?
Escapar HTML converte caracteres especiais como <, >, & e " em suas entidades HTML (<, >, &, "). Assim o navegador os mostra como texto em vez de interpretá-los como código.
Por que é importante para segurança?
Previne ataques XSS (Cross-Site Scripting). Se exibir texto de usuários sem escapar, um atacante poderia injetar código JavaScript malicioso.
O que são entidades HTML?
São códigos que representam caracteres especiais: < para <, & para &, © para ©. Podem ter formato de nome (&) ou numérico (&).
Escapar HTML protege contra todos os ataques XSS?
Sozinho não. O escape lida com o contexto de saída, mas XSS também acontece por execução de JavaScript, injeção CSS ou ataques baseados em atributos. Você precisa de cabeçalhos Content Security Policy e validação de entrada. Veja o escape como uma camada, não uma solução mágica. Combine com uma CSP que bloqueie scripts inline.
Tem como escapar só os colchetes angulares sem mexer nos outros caracteres?
Nossa ferramenta não permite escape seletivo, e por um bom motivo. Escapar parcialmente deixa brechas que atacantes podem explorar. Digamos que você escape < e >, mas deixe o & de fora. Um usuário digitando <script> pode gerar uma tag real se seu banco de dados codificar duplamente. Passe tudo pelo escape completo uma vez e confie na saída. Você evita casos bizarros.
O que acontece se eu colar HTML já escapado no campo de escape?
A ferramenta escapará novamente, transformando `&` em `&amp;`. Normalmente não é isso que você quer. Sempre confira se sua entrada são caracteres HTML puros, não entidades. Na dúvida, cole uma pequena amostra e veja o resultado. Esse erro é comum ao copiar texto de um CMS que já escapou o conteúdo antes.
Por que meu navegador exibe tags HTML cruas quando uso <code>innerHTML</code> para inserir texto?
Você está passando caracteres <code><</code> e <code>></code> sem tratamento via JavaScript. Com <code>innerHTML</code>, o navegador interpreta isso como marcação, não como texto. Faça o escape HTML primeiro — isso converte <code><</code> em <code><</code> e <code>></code> em <code>></code>. Depois atribua a versão escapada ao <code>innerHTML</code>. O navegador exibirá as tags como caracteres literais. Pule essa etapa e você terá layouts quebrados ou uma brecha XSS.
Como Escapar HTML
- Cole seu texto ou código HTML no campo de entrada
- Clique em Escapar para converter caracteres especiais em entidades
- Clique em Desescapar para converter entidades em caracteres
- Pré-visualize para ver como o HTML é renderizado
- Consulte a tabela de entidades HTML de referência