这个工具有问题吗?
关于「HTML 实体编码 在线」
该工具将在 HTML 中具有特殊含义的字符转换为其实体等效项。< 变成 <,> 变成 >,& 变成 &," 变成 ",依此类推。结果可以安全地嵌入 HTML 中而不会被解释为标记。
在网页上显示用户提交的内容时,HTML 编码对防止跨站脚本(XSS)攻击至关重要。如果在渲染前不对 <script> 标签进行编码,恶意用户可以在其他用户的浏览器中注入和执行 JavaScript。
该工具还支持数字实体编码(< 而不是 <)和非 ASCII 字符的命名实体编码(é 变成 é),让您选择最适合您用例的格式。
如何使用这个工具
如何把特殊字符转义为 HTML 实体
粘贴文本
把原始字符串放入「Text」字段。工具会把在 HTML 中具有特殊含义的字符全部编码:`<`、`>`、`&`、`"`、`'` 分别变为 `<`、`>`、`&`、`"`、`'`。
点击运行
结果只有 `encoded`。该输出可以安全地放进 HTML 正文、属性值(用 `"` 包裹时),以及绝大多数不会自动转义的模板引擎。
不覆盖的内容
JavaScript 字符串字面量、CSS 选择器、URL 组件有各自的转义规则——不要用 HTML 实体编码处理它们。对于 `onclick="…"` 这类属性,字符串内部还需要做 JS 转义。
可逆性
用 `html-entity-decoder` 反过来跑一遍确认可逆。重复编码会产生双重转义:`&` 变成 `&amp;`。如果页面渲染出 `&lt;`,就是已编码内容又被编码了一次。