Nenhuma ferramenta usada recentemente
Nenhuma ferramenta favorita ainda

Escapar HTML Grátis: Codificar e Decodificar Entidades HTML Online

186 usos

Referência de Entidades HTML

CaractereNome da EntidadeNúmero da EntidadeDescrição
<&lt;&#60;Menor que, abertura de tag
>&gt;&#62;Maior que, fechamento de tag
&&amp;&#38;E comercial, início de entidade
"&quot;&#34;Aspas duplas, delimitador de atributo
'&apos;&#39;Aspas simples, delimitador de atributo
 &nbsp;&#160;Espaço não quebrável
©&copy;&#169;Símbolo de copyright
®&reg;&#174;Marca registrada

Dicas sobre Entidades HTML

Escapar caracteres HTML
Converte < em &lt;, > em &gt;, & em &amp; e " em &quot;. Essencial para mostrar código HTML como texto sem que o navegador o interprete.
Prevenir XSS
Escapar HTML é fundamental para segurança web. Evita ataques XSS (Cross-Site Scripting) ao exibir conteúdo fornecido por usuários.
Tabela de entidades
Consulte a tabela de referência com os caracteres HTML mais comuns e suas entidades por nome e número.

Perguntas Frequentes

Q O que significa escapar HTML?
A Escapar HTML converte caracteres especiais como <, >, & e " em suas entidades HTML (&lt;, &gt;, &amp;, &quot;). Assim o navegador os mostra como texto em vez de interpretá-los como código.
Q Por que é importante para segurança?
A Previne ataques XSS (Cross-Site Scripting). Se exibir texto de usuários sem escapar, um atacante poderia injetar código JavaScript malicioso.
Q O que são entidades HTML?
A São códigos que representam caracteres especiais: &lt; para <, &amp; para &, &copy; para ©. Podem ter formato de nome (&amp;) ou numérico (&#38;).
Q Escapar HTML protege contra todos os ataques XSS?
A Sozinho não. O escape lida com o contexto de saída, mas XSS também acontece por execução de JavaScript, injeção CSS ou ataques baseados em atributos. Você precisa de cabeçalhos Content Security Policy e validação de entrada. Veja o escape como uma camada, não uma solução mágica. Combine com uma CSP que bloqueie scripts inline.
Q Tem como escapar só os colchetes angulares sem mexer nos outros caracteres?
A Nossa ferramenta não permite escape seletivo, e por um bom motivo. Escapar parcialmente deixa brechas que atacantes podem explorar. Digamos que você escape < e >, mas deixe o & de fora. Um usuário digitando &lt;script&gt; pode gerar uma tag real se seu banco de dados codificar duplamente. Passe tudo pelo escape completo uma vez e confie na saída. Você evita casos bizarros.
Q O que acontece se eu colar HTML já escapado no campo de escape?
A A ferramenta escapará novamente, transformando `&amp;` em `&amp;amp;`. Normalmente não é isso que você quer. Sempre confira se sua entrada são caracteres HTML puros, não entidades. Na dúvida, cole uma pequena amostra e veja o resultado. Esse erro é comum ao copiar texto de um CMS que já escapou o conteúdo antes.
Q Por que meu navegador exibe tags HTML cruas quando uso <code>innerHTML</code> para inserir texto?
A Você está passando caracteres <code><</code> e <code>></code> sem tratamento via JavaScript. Com <code>innerHTML</code>, o navegador interpreta isso como marcação, não como texto. Faça o escape HTML primeiro — isso converte <code><</code> em <code>&lt;</code> e <code>></code> em <code>&gt;</code>. Depois atribua a versão escapada ao <code>innerHTML</code>. O navegador exibirá as tags como caracteres literais. Pule essa etapa e você terá layouts quebrados ou uma brecha XSS.

Como Escapar HTML

Ferramentas Relacionadas