Escape `& < > " '` thành các HTML entity an toàn, hoặc giải mã văn bản đã escape entity về dạng thuần. Bốn cấp độ mã hóa — Minimal, Named, Numeric, All non-ASCII. An toàn UTF-8 + emoji + CJK, ngay trong trình duyệt của bạn.
Mặc định nên dùng Minimal — chỉ escape & < > " ', năm ký tự phá vỡ ngữ cảnh body / attribute của HTML. Đây là điều mọi templating engine hiện đại đều làm. Dùng Named entities nếu bạn muốn copyright / nbsp / mũi tên v.v. dưới dạng mã dễ đọc (© thay vì ©). Dùng Numeric khi gửi HTML qua các pipeline có thể không hiểu named entity. Dùng All non-ASCII khi nhắm tới hệ thống chỉ chấp nhận ASCII (máy chủ email cũ, API hỏng).
' hợp lệ trong XML và HTML5, nhưng không trong HTML 4.01 — trình duyệt cũ hiển thị nó dưới dạng văn bản nguyên văn '. Tham chiếu số ' hoạt động ở mọi nơi. Bộ giải mã chấp nhận ' làm đầu vào để tương thích.
Escape nội dung người dùng cho template, giải mã dữ liệu đã mã hóa entity — và một vài chi tiết nhỏ giúp dùng thực sự thú vị.
Minimal chỉ escape năm ký tự không an toàn trong HTML (& < > " ') — mặc định phù hợp cho nội dung do người dùng tạo. Named dùng các entity HTML5 dễ đọc như © / / ♥ khi có sẵn. Numeric mã hóa mọi codepoint non-ASCII thành &#NN;. All non-ASCII mã hóa mọi codepoint nằm ngoài ASCII có thể in được, dùng cho pipeline cũ / chỉ ASCII.
Bộ giải mã xử lý named entity (©), numeric thập phân (©), và numeric hex (©). Các codepoint surrogate-pair (emoji, chữ viết cổ) round-trip chính xác qua UTF-16.
Kết quả cập nhật theo từng phím gõ — không cần nhấn nút Encode / Decode. Đổi hướng chỉ một cú nhấp; nút Hoán đổi chuyển kết quả trở lại đầu vào để bạn có thể xâu chuỗi nhiều phép biến đổi.
Mọi codepoint Unicode round-trip nguyên vẹn: 中文, العربية, русский, हिंदी, 🎉, Þorgeir. Encoder duyệt theo từng codepoint (không dùng charAt) nên các surrogate pair luôn nguyên vẹn.
Văn bản của bạn ở lại trên thiết bị. Encoder, decoder, bảng named-entity đều chạy bằng JavaScript cục bộ. Mở DevTools → Network và kiểm chứng không có request đi ra nào.
JavaScript thuần, không runtime framework. Tải nguội dưới 25 KB gzip. Một tài liệu HTML 100 KB được mã hóa trong dưới 5 ms.
Bốn bước từ văn bản thô đến đầu ra an toàn entity.
Thả văn bản thuần hoặc HTML vào ô Đầu vào. Bất cứ thứ gì cũng được — bình luận người dùng, bài blog, emoji, CJK, chữ viết RTL. Encoder duyệt theo codepoint nên các chuỗi đa byte luôn nguyên vẹn.
Đặt Hướng thành Mã hóa (văn bản → entity) hoặc Giải mã (entity → văn bản). Với Mã hóa, chọn chế độ: Minimal cho template, Named cho entity dễ đọc, Numeric để mã hóa non-ASCII thành &#NN;, All non-ASCII để có đầu ra chỉ-ASCII.
Kết quả cập nhật theo từng phím gõ. So sánh các chế độ theo thời gian thực bằng cách đổi dropdown. Dùng Hoán đổi để chuyển kết quả ngược về đầu vào — hữu ích để xác minh round-trip (mã hóa rồi giải mã = bản gốc).
Dùng biểu tượng sao chép để đẩy kết quả vào clipboard, hoặc biểu tượng tải xuống để lưu thành output.encode.html / output.decode.txt. Phần chênh lệch kích thước (ký tự / byte vào → ra) cho biết chính xác việc mã hóa làm văn bản phình to hay co lại bao nhiêu.
Bốn tình huống phổ biến mà công cụ trình duyệt ưu tiên quyền riêng tư đánh bại việc dán code vào một bộ mã hóa trực tuyến ngẫu nhiên.
Bình luận người dùng, phản hồi biểu mẫu, truy vấn tìm kiếm — bất cứ thứ gì đến từ bên ngoài rồi nằm trong <p>, <li> hoặc attribute. Chạy qua mã hóa Minimal trước khi nối chuỗi vào HTML, và bạn an toàn trước markup hỏng và các payload XSS đơn giản nhất.
Một số API trả về chuỗi đã được escape entity sẵn (RSS feed, một số export CMS, HTML scrape). Dán vào, nhấn Giải mã, nhận lại Unicode gốc. Bộ giải mã xử lý entity dạng tên, thập phân và hex bao gồm cả surrogate pair.
<title>, <meta name="description">, <meta property="og:title"> — tất cả đều cần escape entity cho ký tự đặc biệt. Mã hóa tiêu đề một lần, dán vào cả ba.
Nội dung CMS nội bộ, dữ liệu khách hàng, template được bảo vệ bởi NDA — bất cứ thứ gì bạn không thể dán vào một bộ mã hóa cloud. Công cụ chạy hoàn toàn trên trình duyệt giữ mọi byte ở lại máy của bạn. Mở DevTools → Network và kiểm chứng không có gì rời đi.
Văn bản của bạn không bao giờ rời khỏi thiết bị. Mở DevTools → Network và bạn sẽ thấy không có request đi ra nào trong khi mã hóa hoặc giải mã.
Những bài đọc tuyển chọn về escape HTML, bảng entity và templating an toàn.
Mặc định nên dùng Minimal — chỉ escape & < > " ', năm ký tự phá vỡ ngữ cảnh body / attribute của HTML. Đây là điều mọi templating engine hiện đại đều làm. Dùng Named entities nếu bạn muốn copyright / nbsp / mũi tên v.v. dưới dạng mã dễ đọc (© thay vì ©). Dùng Numeric khi gửi HTML qua các pipeline có thể không hiểu named entity. Dùng All non-ASCII khi nhắm tới hệ thống chỉ chấp nhận ASCII (máy chủ email cũ, API hỏng).
' hợp lệ trong XML và HTML5, nhưng không trong HTML 4.01 — trình duyệt cũ hiển thị nó dưới dạng văn bản nguyên văn '. Tham chiếu số ' hoạt động ở mọi nơi. Bộ giải mã chấp nhận ' làm đầu vào để tương thích.
Có. Bộ mã hóa duyệt theo codepoint (không phải đơn vị mã UTF-16), nên emoji như 🎉 (U+1F389) trở thành 🎉 khi mã hóa và round-trip chính xác khi giải mã. Tương tự với CJK (中文 → 中文 ở chế độ numeric).
Đối với HTML body và attribute — có, với chế độ Minimal. Đối với ngữ cảnh URL (href="...") bạn còn cần URL encoding. Đối với JavaScript hoặc CSS inline, cả HTML lẫn URL encoding đều không đủ — dùng templating engine hiểu các ngữ cảnh đó. Đừng bao giờ dán dữ liệu người dùng chưa escape vào khối <script>.
Không. Bộ mã hóa, giải mã và bảng tra named-entity đều chạy bằng JavaScript trên thiết bị của bạn. Mở DevTools → Network và bạn sẽ thấy không có request đi ra nào trong khi mã hóa hoặc giải mã. Dán bí mật, dữ liệu khách hàng, template nội bộ — không có gì rời khỏi máy của bạn.