このツールに問題がありますか?
「HTMLエンティティ符号化 オンライン」について
このツールは HTML で特別な意味を持つ文字をエンティティに変換します。<→<、>→>、&→&、"→" など。結果は HTML 内にマークアップとして解釈されずに埋め込めます。
ユーザー投稿コンテンツの表示時、XSS(クロスサイトスクリプティング)対策に不可欠。エンコードせずに <script> を出すと、悪意あるユーザーが他者のブラウザで JavaScript を実行できる可能性があります。
数値エンティティ(<)や、非 ASCII の名前付きエンティティ(é→é)にも対応し、用途に合わせて選択できます。
このツールの使い方
特殊文字を HTML エンティティとしてエスケープする手順
テキストを貼り付け
「Text」欄に素のままの文字列を貼り付け。HTML 内で意味を持つ文字を全てエンコードします — `<`、`>`、`&`、`"`、`'` がそれぞれ `<`、`>`、`&`、`"`、`'` に。
「実行」
結果は `encoded` のみ。HTML の本文、属性値(`"` で囲んだ時)、自動エスケープしないテンプレートエンジンに安全に貼れます。
対象外
JavaScript 文字列リテラル、CSS セレクタ、URL コンポーネントは別のエスケープ規則 — HTML エンティティでは代用できません。`onclick="…"` のような属性では文字列内部の JS エスケープも必要。
ラウンドトリップ
`html-entity-decoder` を通すと往復が保証されます。多重エスケープになると `&` が `&amp;` になります。レンダリングされた HTML に `&lt;` が見えたら、すでにエンコード済みの何かを再エンコードしたサイン。