С этим инструментом что-то не так?
О «Кодирование HTML-сущностей Онлайн»
Этот инструмент превращает специальные для HTML символы в сущности: < → <, > → >, & → &, " → " и т.д. Результат можно безопасно вставлять в HTML без угрозы, что он будет распарсен как разметка.
Кодирование HTML критично для защиты от XSS при выводе пользовательского контента. Без эскейпа <script> вы фактически отдаёте JavaScript злоумышленника в браузеры посетителей.
Поддерживается числовое (<) и именованное (é → é) кодирование — выбирайте подходящий формат.
Как пользоваться этим инструментом
Как экранировать специальные символы как HTML-сущности
Вставьте текст
Простая строка — в поле "Text". Инструмент кодирует все спецсимволы HTML: `<`, `>`, `&`, `"`, `'` → `<`, `>`, `&`, `"`, `'`.
Запуск
Результат: единственное поле `encoded`. Вывод безопасен для вставки в текст HTML, атрибуты (когда обёрнуты в `"`) и большинство шаблонизаторов без авто-эскейпа.
Чего не покрывает
У JavaScript-литералов, CSS-селекторов и компонентов URL свои правила экранирования — HTML-entity тут не подойдёт. Для атрибутов вроде `onclick="…"` нужно ещё и JS-экранирование внутри строки.
Round-trip
Прогоните результат через `html-entity-decoder`, чтобы убедиться в обратимости. Повторное кодирование даёт двойной escape: `&` → `&amp;`. Если в отрисованном HTML видите `&lt;` — это значит, кто-то закодировал уже закодированное.