Экранируйте `& < > " '` в безопасные HTML-сущности или декодируйте текст с экранированными сущностями обратно в обычный. Четыре уровня кодирования — Minimal, Named, Numeric, All non-ASCII. Безопасно для UTF-8 + emoji + CJK, в вашем браузере.
По умолчанию — Minimal: экранируйте только & < > " ', пять символов, которые ломают HTML-контексты тела и атрибутов. Так делает любой современный шаблонизатор. Используйте Named entities, если хотите видеть copyright / nbsp / стрелки и т. п. в виде читаемых кодов (© вместо ©). Используйте Numeric, когда отправляете HTML через пайплайны, которые могут не понимать именованные сущности. Используйте All non-ASCII, когда целевая система строго ASCII-only (устаревшие почтовые серверы, сломанные API).
' допустимо в XML и HTML5, но не в HTML 4.01 — старые браузеры рендерят это как литеральный текст '. Числовая ссылка ' работает везде. Декодер принимает ' на вход для совместимости.
Экранируйте пользовательский контент для шаблонов, декодируйте данные с HTML-сущностями — и пара мелочей, благодаря которым этим действительно приятно пользоваться.
Minimal экранирует только пять небезопасных для HTML символов (& < > " ') — правильный выбор по умолчанию для обычного пользовательского контента. Named использует читаемые HTML5-сущности вроде © / / ♥ там, где они существуют. Numeric кодирует каждую non-ASCII-кодовую точку как &#NN;. All non-ASCII кодирует каждую кодовую точку за пределами печатного ASCII для устаревших / только-ASCII пайплайнов.
Декодер обрабатывает именованные сущности (©), десятичные числовые (©) и шестнадцатеричные числовые (©). Кодовые точки из суррогатных пар (emoji, древние письменности) корректно проходят туда-обратно через UTF-16.
Результат обновляется при каждом нажатии клавиши — никакой кнопки Encode / Decode нажимать не нужно. Меняйте направление одним кликом; кнопка Swap переносит результат обратно во ввод, чтобы можно было сцеплять преобразования.
Каждая кодовая точка Unicode проходит туда-обратно: 中文, العربية, русский, हिंदी, 🎉, Þorgeir. Кодировщик использует обход по кодовым точкам (а не charAt), так что суррогатные пары остаются целыми.
Ваш текст остаётся на вашем устройстве. Кодировщик, декодер и таблица именованных сущностей выполняются локально на JavaScript. Откройте DevTools → Network и убедитесь, что исходящих запросов ноль.
Чистый JavaScript, без рантайма какого-либо фреймворка. Холодная загрузка — менее 25 КБ gzip. HTML-документ в 100 КБ кодируется быстрее чем за 5 мс.
Четыре шага от исходного текста до безопасного по сущностям вывода.
Бросьте обычный текст или HTML в панель Input. Подойдёт что угодно — комментарии пользователей, посты в блоге, emoji, CJK, RTL-письменности. Кодировщик обходит ввод по кодовым точкам, так что многобайтные последовательности остаются целыми.
Установите Direction в Encode (текст → сущности) или Decode (сущности → текст). Для Encode выберите режим: Minimal для шаблонов, Named для читаемых сущностей, Numeric для non-ASCII в виде &#NN;, All non-ASCII для вывода только в ASCII.
Вывод обновляется при каждом нажатии клавиши. Сравнивайте режимы в реальном времени, переключая выпадающий список. Используйте Swap, чтобы перенести результат обратно во ввод — удобно для проверки round-trip (закодировать, потом декодировать = оригинал).
Используйте иконку копирования, чтобы отправить результат в буфер обмена, или иконку загрузки, чтобы сохранить его как output.encode.html / output.decode.txt. Разница в размере (символов / байт ввод → вывод) показывает, насколько именно кодирование увеличило или уменьшило текст.
Четыре частых сценария, где приватный браузерный инструмент лучше, чем вставка кода в случайный онлайн-кодировщик.
Комментарии пользователей, ответы из форм, поисковые запросы — всё, что приходит извне и оказывается внутри <p>, <li> или атрибута. Прогоните через Minimal-кодирование перед склейкой строк в HTML — и вы защищены от сломанной разметки и простейших XSS-нагрузок.
Некоторые API возвращают строки уже с экранированными сущностями (RSS-фиды, экспорты определённых CMS, спарсенный HTML). Вставьте, нажмите Decode и получите исходный Unicode. Декодер работает с именованными, десятичными и шестнадцатеричными сущностями, включая суррогатные пары.
<title>, <meta name="description">, <meta property="og:title"> — всем нужны экранированные сущности для специальных символов. Закодируйте заголовок один раз и вставьте во все три места.
Внутренний контент CMS, данные клиентов, шаблоны под NDA — всё, что нельзя вставлять в облачный кодировщик. Браузерный инструмент держит каждый байт на вашем ноутбуке. Откройте DevTools → Network и убедитесь, что ничего не уходит.
Ваш текст никогда не покидает ваше устройство. Откройте DevTools → Network — и увидите ноль исходящих запросов во время кодирования или декодирования.
Подборка материалов про HTML-экранирование, таблицы сущностей и безопасные шаблоны.
По умолчанию — Minimal: экранируйте только & < > " ', пять символов, которые ломают HTML-контексты тела и атрибутов. Так делает любой современный шаблонизатор. Используйте Named entities, если хотите видеть copyright / nbsp / стрелки и т. п. в виде читаемых кодов (© вместо ©). Используйте Numeric, когда отправляете HTML через пайплайны, которые могут не понимать именованные сущности. Используйте All non-ASCII, когда целевая система строго ASCII-only (устаревшие почтовые серверы, сломанные API).
' допустимо в XML и HTML5, но не в HTML 4.01 — старые браузеры рендерят это как литеральный текст '. Числовая ссылка ' работает везде. Декодер принимает ' на вход для совместимости.
Да. Кодировщик обходит кодовые точки (а не блоки кода UTF-16), так что emoji вроде 🎉 (U+1F389) превращаются в 🎉 при кодировании и корректно возвращаются при декодировании. То же касается CJK (中文 → 中文 в режиме numeric).
Для тела и атрибутов HTML — да, в режиме Minimal. Для URL-контекстов (href="...") дополнительно нужно URL-кодирование. Для встроенного JavaScript или CSS ни HTML-, ни URL-кодирования недостаточно — используйте полноценный шаблонизатор, который понимает эти контексты. Никогда не вставляйте неэкранированный пользовательский ввод в блок <script>.
Нет. Кодировщик, декодер и таблица именованных сущностей выполняются на JavaScript у вас на устройстве. Откройте DevTools → Network — и увидите ноль исходящих запросов во время кодирования или декодирования. Вставляйте секреты, данные клиентов, внутренние шаблоны — ничего не покидает ваш ноутбук.