Échappez `& < > " '` en entités HTML sûres, ou décodez du texte échappé en entités vers du texte brut. Quatre niveaux d'encodage — Minimal, Nommé, Numérique, Tout non-ASCII. Compatible UTF-8 + emoji + CJC, dans votre navigateur.
Par défaut, choisissez Minimal — n'échappez que & < > " ', les cinq caractères qui cassent les contextes corps / attribut HTML. C'est ce que fait tout moteur de templates moderne. Utilisez Entités nommées si vous voulez copyright / nbsp / flèches etc. en codes lisibles (© au lieu de ©). Utilisez Numérique lorsque le HTML traverse des chaînes qui ne comprennent pas les entités nommées. Utilisez Tout non-ASCII pour cibler des systèmes strictement ASCII (anciens serveurs e-mail, APIs cassées).
' est valide en XML et HTML5, mais pas en HTML 4.01 — les anciens navigateurs l'affichent comme le texte littéral '. La référence numérique ' fonctionne partout. Le décodeur accepte ' en entrée pour la compatibilité.
Échappez le contenu utilisateur pour vos modèles, décodez les données encodées en entités — avec quelques petites touches qui rendent l'outil vraiment agréable à utiliser.
Minimal n'échappe que les cinq caractères dangereux en HTML (& < > " ') — la valeur par défaut idéale pour le contenu utilisateur normal. Nommé utilise des entités HTML5 lisibles comme © / / ♥ lorsqu'il en existe une. Numérique encode chaque point de code non-ASCII sous la forme &#NN;. Tout non-ASCII encode chaque point de code en dehors de l'ASCII imprimable, pour les chaînes de traitement legacy / ASCII uniquement.
Le décodeur gère les entités nommées (©), numériques décimales (©) et numériques hexadécimales (©). Les points de code en paire de substitution (emoji, écritures anciennes) font des allers-retours corrects via UTF-16.
La sortie se met à jour à chaque frappe — aucun bouton Encoder / Décoder à presser. Changez de direction en un clic; le bouton Inverser renvoie la sortie vers l'entrée pour enchaîner les transformations.
Chaque point de code Unicode fait un aller-retour propre : 中文, العربية, русский, हिंदी, 🎉, Þorgeir. L'encodeur itère par point de code (et non avec charAt), donc les paires de substitution restent intactes.
Votre texte reste sur votre appareil. L'encodeur, le décodeur et la table d'entités nommées s'exécutent tous localement en JavaScript. Ouvrez DevTools → Network et vérifiez l'absence totale de requêtes sortantes.
JavaScript pur, sans runtime de framework. Le chargement à froid pèse moins de 25 Ko gzippés. Un document HTML de 100 Ko s'encode en moins de 5 ms.
Quatre étapes du texte brut à une sortie sûre en entités.
Déposez du texte brut ou du HTML dans le panneau Entrée. Tout est accepté — commentaires d'utilisateurs, articles de blog, emoji, CJC, écritures RTL. L'encodeur itère par point de code, ainsi les séquences multi-octets restent intactes.
Réglez la Direction sur Encoder (texte → entités) ou Décoder (entités → texte). Pour Encoder, choisissez le mode : Minimal pour les modèles, Nommé pour des entités lisibles, Numérique pour le non-ASCII en &#NN;, Tout non-ASCII pour une sortie purement ASCII.
La sortie se met à jour à chaque frappe. Comparez les modes en temps réel en changeant la liste déroulante. Utilisez Inverser pour renvoyer la sortie vers l'entrée — pratique pour vérifier un aller-retour (encoder puis décoder = original).
Utilisez l'icône de copie pour envoyer le résultat dans votre presse-papiers, ou l'icône de téléchargement pour l'enregistrer en output.encode.html / output.decode.txt. La différence de taille (caractères / octets entrée → sortie) montre exactement de combien l'encodage a gonflé ou réduit le texte.
Quatre scénarios courants où un outil de navigateur axé sur la confidentialité fait mieux que coller du code dans un encodeur en ligne au hasard.
Commentaires d'utilisateurs, réponses de formulaires, requêtes de recherche — tout ce qui vient de l'extérieur et finit dans un <p>, un <li> ou un attribut. Passez-le par un encodage en mode Minimal avant de le concaténer dans votre HTML, et vous êtes à l'abri des balises cassées et des charges XSS les plus simples.
Certaines APIs renvoient des chaînes déjà échappées en entités (flux RSS, certains exports CMS, HTML scrapé). Collez, cliquez sur Décoder, récupérez l'Unicode original. Le décodeur gère les entités nommées, décimales et hexadécimales, y compris les paires de substitution.
<title>, <meta name="description">, <meta property="og:title"> — tous nécessitent un échappement en entités pour les caractères spéciaux. Encodez votre titre une fois, collez-le dans les trois.
Contenu de CMS interne, données clients, modèles sous NDA — tout ce que vous ne pouvez pas coller dans un encodeur cloud. L'outil entièrement navigateur garde chaque octet sur votre ordinateur. Ouvrez DevTools → Network et vérifiez que rien ne sort.
Votre texte ne quitte jamais votre appareil. Ouvrez DevTools → Network et vous verrez zéro requête sortante pendant l'encodage ou le décodage.
Lectures triées sur le volet sur l'échappement HTML, les tables d'entités et le templating sûr.
Par défaut, choisissez Minimal — n'échappez que & < > " ', les cinq caractères qui cassent les contextes corps / attribut HTML. C'est ce que fait tout moteur de templates moderne. Utilisez Entités nommées si vous voulez copyright / nbsp / flèches etc. en codes lisibles (© au lieu de ©). Utilisez Numérique lorsque le HTML traverse des chaînes qui ne comprennent pas les entités nommées. Utilisez Tout non-ASCII pour cibler des systèmes strictement ASCII (anciens serveurs e-mail, APIs cassées).
' est valide en XML et HTML5, mais pas en HTML 4.01 — les anciens navigateurs l'affichent comme le texte littéral '. La référence numérique ' fonctionne partout. Le décodeur accepte ' en entrée pour la compatibilité.
Oui. L'encodeur itère sur les points de code (et non sur les unités UTF-16), de sorte qu'un emoji comme 🎉 (U+1F389) devient 🎉 à l'encodage et fait un aller-retour correct au décodage. Idem pour le CJC (中文 → 中文 en mode numérique).
Pour le corps HTML et les attributs — oui, avec le mode Minimal. Pour les contextes URL (href="...") il faut aussi un encodage URL. Pour le JavaScript ou le CSS inline, ni l'encodage HTML ni l'encodage URL ne suffisent — utilisez un moteur de templates qui comprend ces contextes. Ne collez jamais de saisie utilisateur non échappée dans un bloc <script>.
Non. L'encodeur, le décodeur et la table de recherche d'entités nommées s'exécutent tous en JavaScript sur votre appareil. Ouvrez DevTools → Network et vous verrez zéro requête sortante pendant l'encodage ou le décodage. Collez des secrets, des données clients, des modèles internes — rien ne quitte votre ordinateur.