Екрануйте `& < > " '` у безпечні HTML-сутності або декодуйте екранований сутностями текст назад у звичайний. Чотири рівні кодування — Minimal, Named, Numeric, All non-ASCII. Безпечно для UTF-8 + emoji + CJK, у вашому браузері.
За замовчуванням — Minimal: екрануйте лише & < > " ', ті п’ять символів, що ламають контексти HTML body / атрибутів. Саме так робить кожен сучасний шаблонізатор. Використовуйте Named entities, якщо хочете отримати copyright / nbsp / стрілки тощо як читабельні коди (© замість ©). Використовуйте Numeric, коли надсилаєте HTML через пайплайни, які можуть не розуміти іменовані сутності. Використовуйте All non-ASCII, коли працюєте з системами, що приймають лише ASCII (застарілі поштові сервери, зламані API).
' є валідним у XML і HTML5, але не в HTML 4.01 — старіші браузери відображають його як буквальний текст '. Числове посилання ' працює всюди. Декодувальник приймає ' на вході для сумісності.
Екрануйте контент користувача для шаблонів, декодуйте дані, закодовані сутностями — і кілька дрібниць, що роблять користування справді приємним.
Minimal екранує лише п’ять небезпечних для HTML символів (& < > " ') — правильне значення за замовчуванням для звичайного користувацького контенту. Named використовує читабельні HTML5-сутності, як-от © / / ♥, де вони існують. Numeric кодує кожну non-ASCII кодову точку як &#NN;. All non-ASCII кодує кожну кодову точку поза друкованим ASCII для застарілих / ASCII-only пайплайнів.
Декодувальник обробляє іменовані сутності (©), десяткові числові (©) та шістнадцяткові числові (©). Кодові точки сурогатних пар (emoji, давні писемності) коректно проходять туди й назад через UTF-16.
Вивід оновлюється з кожним натисканням клавіші — без кнопки Encode / Decode. Перемикайте напрямок одним кліком; кнопка Swap переносить вивід назад у вхід, щоб ви могли ланцюжити перетворення.
Кожна Unicode-кодова точка проходить туди й назад: 中文, العربية, русский, हिंदी, 🎉, Þorgeir. Кодувальник використовує ітерацію по кодових точках (а не charAt), тож сурогатні пари залишаються цілими.
Ваш текст залишається на вашому пристрої. Кодувальник, декодувальник і таблиця іменованих сутностей працюють як JavaScript локально. Відкрийте DevTools → Network і переконайтеся, що немає жодних вихідних запитів.
Чистий JavaScript, без рантайму фреймворку. Холодне завантаження — менше ніж 25 КБ gzip. HTML-документ на 100 КБ кодується менше ніж за 5 мс.
Чотири кроки від сирого тексту до безпечного для сутностей виводу.
Кидайте звичайний текст або HTML у панель Input. Підійде що завгодно — користувацькі коментарі, дописи блогу, emoji, CJK, RTL-писемності. Кодувальник ітерує по кодових точках, тож багатобайтові послідовності залишаються цілими.
Встановіть Direction на Encode (текст → сутності) або Decode (сутності → текст). Для Encode оберіть режим: Minimal для шаблонів, Named для читабельних сутностей, Numeric для non-ASCII як &#NN;, All non-ASCII для виводу лише з ASCII.
Вивід оновлюється з кожним натисканням клавіші. Порівнюйте режими в реальному часі, змінюючи дропдаун. Використовуйте Swap, щоб перенести вивід назад у вхід — корисно для перевірки round-trip (закодувати, потім декодувати = оригінал).
Натисніть піктограму копіювання, щоб надіслати результат у буфер обміну, або піктограму завантаження, щоб зберегти його як output.encode.html / output.decode.txt. Різниця в розмірі (символи / байти на вході → виході) показує, наскільки кодування збільшило або зменшило текст.
Чотири поширені сценарії, де приватний браузерний інструмент перевершує вставляння коду у випадковий онлайн-кодувальник.
Коментарі користувачів, відповіді з форм, пошукові запити — будь-що ззовні, що потрапляє всередину <p>, <li> чи атрибута. Прогоніть через кодування у режимі Minimal перед склеюванням рядків у ваш HTML — і ви захищені від зламаної розмітки та найпростіших XSS-payload’ів.
Деякі API повертають рядки вже екранованими сутностями (RSS-стрічки, певні експорти CMS, зскрейплений HTML). Вставте, натисніть Decode, отримайте назад оригінальний Unicode. Декодувальник обробляє іменовані, десяткові й шістнадцяткові сутності, включно з сурогатними парами.
<title>, <meta name="description">, <meta property="og:title"> — усім потрібне екранування сутностей для спеціальних символів. Закодуйте свій заголовок один раз, вставте у всі три.
Внутрішній контент CMS, дані клієнтів, шаблони під NDA — усе, що не можна вставляти в хмарний кодувальник. Браузерний інструмент тримає кожен байт на вашому ноутбуці. Відкрийте DevTools → Network і переконайтеся, що нічого не виходить.
Ваш текст ніколи не залишає ваш пристрій. Відкрийте DevTools → Network і побачите нуль вихідних запитів під час кодування чи декодування.
Підібрані матеріали про HTML-екранування, таблиці сутностей і безпечне шаблонування.
За замовчуванням — Minimal: екрануйте лише & < > " ', ті п’ять символів, що ламають контексти HTML body / атрибутів. Саме так робить кожен сучасний шаблонізатор. Використовуйте Named entities, якщо хочете отримати copyright / nbsp / стрілки тощо як читабельні коди (© замість ©). Використовуйте Numeric, коли надсилаєте HTML через пайплайни, які можуть не розуміти іменовані сутності. Використовуйте All non-ASCII, коли працюєте з системами, що приймають лише ASCII (застарілі поштові сервери, зламані API).
' є валідним у XML і HTML5, але не в HTML 4.01 — старіші браузери відображають його як буквальний текст '. Числове посилання ' працює всюди. Декодувальник приймає ' на вході для сумісності.
Так. Кодувальник ітерує кодові точки (а не кодові одиниці UTF-16), тож emoji як 🎉 (U+1F389) стають 🎉 при кодуванні й коректно повертаються через декодування. Те саме для CJK (中文 → 中文 у числовому режимі).
Для тіла HTML і атрибутів — так, з режимом Minimal. Для URL-контекстів (href="...") також потрібне URL-кодування. Для inline-JavaScript чи CSS ні HTML-, ні URL-кодування недостатньо — використовуйте належний шаблонізатор, який розуміє ці контексти. Ніколи не вставляйте неекранований ввід користувача в блок <script>.
Ні. Кодувальник, декодувальник і пошукова таблиця іменованих сутностей працюють у JavaScript на вашому пристрої. Відкрийте DevTools → Network і побачите нуль вихідних запитів під час кодування чи декодування. Вставляйте секрети, дані клієнтів, внутрішні шаблони — нічого не залишає ваш ноутбук.