HTML实体编码转换工具 | 在线转义/还原XSS防护字符
安全处理用户输入,将敏感字符转义为HTML实体。防止XSS攻击,解决特殊符号与中文在老旧系统中的乱码问题。
输入内容后点击转义按钮,结果将显示在这里
📌 使用提示
- 基础转义: 将 < > " ' & 等HTML特殊字符转为实体,有效防止XSS注入。
- 深度编码: 将中文、特殊符号(©•❤️)等所有非ASCII字符转为数字实体,适用于老旧系统避免乱码。
- 点击“实时预览”可查看浏览器对实体解码后的实际渲染效果(仅演示,不会执行脚本)。
- 所有转换均在本地完成,无任何网络请求,保障内容隐私。
关于HTML实体编码转换工具
🔧 什么是HTML实体编码转换?
HTML实体编码是将特殊字符替换为对应的“实体名称”或“实体编号”的过程。 本工具提供两种模式:基础模式(转义 < > " ' & 等五个XML内置实体), 用于防御XSS攻击;深度模式(全量转义所有非ASCII字符,如中文、标点、表情符号) 可确保内容在遗留系统(如古老数据库、不支持UTF-8的环境)中不产生乱码。
🛡️ 为什么要转义?—— XSS 与 乱码
跨站脚本攻击(XSS):攻击者通过注入恶意脚本代码(如 <script> 标签) 窃取数据。通过将尖括号等字符转为实体 < 和 >, 浏览器会将其视为普通文本而非可执行代码,从而根治XSS。
历史系统乱码问题:在2000年代的一些老系统(如某些邮件网关、老旧CMS)中, 非ASCII字符可能被错误解析。使用“数字实体”如 中文 表示“中文”, 可以保证内容在任何7BIT环境下安全传输。
📜 实体类型一览
基础实体 (XML预定义)
< ← <
> ← > & ← &
" ← " ' ← '
数字实体 (十进制)
A → A
你 → 你 😂 → 😂
数字实体 (十六进制)
< → <
中 → 中
部分老系统只认十进制,本工具深度模式使用十进制保证兼容性。
🌐 浏览器如何渲染实体?
浏览器解析HTML时,会自动将实体转换为对应的字符。例如 © 显示为 ©。 但要注意:在 <textarea> 或 <script> 标签内,实体可能不会被二次解析。 本工具的“实时预览”功能模拟了在普通HTML内容中的渲染结果,方便您验证转义是否正确。