ترميز كيانات HTML المجانية — تهريب الرموز

ما هو ترميز كيانات HTML؟

// Server-side templates auto-escape, but when you build HTML by hand you must escape yourself.
// The five reserved characters and their safe entities:
//   <  →  &lt;     >  →  &gt;     &  →  &amp;     "  →  &quot;     '  →  &#x27;

// Node.js — escape untrusted input before inserting it into HTML element content.
function escapeHtml(str) {
  return str
    .replace(/&/g, '&amp;')   // & first, so later entities are not double-escaped
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&#x27;'); // numeric form — safe in HTML4, HTML5 and XML
}

const userInput = `<a href="x">Tom & Jerry's</a>`;
const safe = escapeHtml(userInput);
// → &lt;a href=&quot;x&quot;&gt;Tom &amp; Jerry&#x27;s&lt;/a&gt;
document.getElementById('out').innerHTML = `<p>${safe}</p>`; // renders as literal text

// ---------------------------------------------------------------
// In practice, prefer the platform's built-in escaping where it exists:
//   - React / Vue / Angular escape interpolated text by default
//   - Use textContent instead of innerHTML when you only need text:
//       el.textContent = userInput;  // the browser escapes for you
//   - Server frameworks (Jinja, ERB, Blade) auto-escape unless you opt out

الميزات الرئيسية

أمثلة محلولة

<a href="x">Tom & Jerry's</a>

<a href="x">Tom & Jerry's</a>

Visit our café — it's 😀

Visit our café — it's 😀

<>&"'

<>&"'

<>&"'

<>&"'

café

café  (named)  ·  café  (decimal)  ·  café  (hex)

كيفية استخدام مُرمِّز كيانات HTML

1. 1

   الصق HTML أو نصك

   أسقِط الترميز أو النص العادي الذي تريد تهريبه في صندوق الإدخال. يتحدّث الخرج المُرمَّز مباشرةً أثناء الكتابة — لا زر إرسال ولا شيء يُرسَل لأي مكان.

2. 2

   اختر صيغة الكيان

   بالاسم هو الافتراضي المقروء (<، &، ©). بدّل إلى العشري (<) أو السداسي (<) حين يفضّل النظام المستهلِك مراجع رقمية أو حين لا تضمن دعم الكيانات المُسمّاة.

3. 3

   اختياريًا رمّز كل ما هو خارج ASCII

   اترك هذا مُطفأً لصفحات UTF-8 الحديثة كي تبقى الحروف المشكَّلة والإيموجي أحرفًا خامًا مقروءة. فعّله فقط حين يجب أن يصمد النص عبر ترميز محارف قديم أحادي البايت، فيُحوَّل كل حرف فوق 0x7F إلى كيان آمن بـ ASCII.

4. 4

   انسخ النتيجة المُرمَّزة

   انقر «نسخ» لوضع السلسلة المُهرَّبة في حافظتك، جاهزة للصقها في قالب أو صفحة توثيق أو حقل قاعدة بيانات. «مسح» يعيد ضبط اللوحين للمقتطف التالي.

5. 5

   تحتاج العكس؟ اعكس الاتجاه

   استخدم «عكس الاتجاه» للانتقال إلى مُفكِّك كيانات HTML حين تريد تحويل الكيانات إلى الأحرف التي تمثّلها.

أخطاء شائعة في ترميز HTML

replace < and > first, then &  →  &lt;  becomes  &amp;lt;

escape & first, then the rest  →  <  stays  <

It's here  →  may render as  It's here

It's here  →  renders as  It's here

&  encoded again  →  &  shows as  &

&  left as-is  →  renders as  &

href="/search?q=a&b c"  →  the space still breaks the URL

href="/search?q=a%26b%20c"  →  URL-encoded, valid

café on a UTF-8 page  →  needless, harder to read

café on a UTF-8 page  →  valid and clean

title="He said "hi""  →  attribute breaks out

title="He said "hi""  →  contained

من يستخدم هذه الأداة

عرض عيّنات كود على صفحة ويب

تكتب درسًا أو توثيقًا يحتاج عرض HTML حرفيًا؟ هرّب المقتطف كي يظهر &lt;strong&gt;bold&lt;/strong&gt; كنص لا كعرض. الصق الترميز، انسخ الخرج المُهرَّب، وأسقطه داخل كتلة <pre> أو <code>.

تعقيم مدخل المستخدم ضد XSS

قبل إدخال أي سلسلة من المستخدم في HTML، هرّب الأحرف الخمسة المحجوزة كي تصبح حمولة مثل <script>…</script> نصًا خاملًا. هذا هو الدفاع التأسيسي ضد البرمجة عبر المواقع حين تبني الترميز يدويًا.

تخزين الترميز داخل حقل قاعدة بيانات أو JSON

تحتاج حفظ شظية HTML كسلسلة عادية دون أن تُفسَّر لاحقًا؟ رمّزها أولًا كي تصمد الأقواس الزاوية وعلامات العطف عبر التخزين وإعادة العرض سليمةً، ثم فُكّها عند الإخراج.

تأليف قوالب البريد ومحتوى نظم إدارة المحتوى

عملاء البريد ونظم إدارة المحتوى لا تتسامح مع الأحرف الخاصة الخام. هرّب المجموعة المحجوزة — واختياريًا كل ما هو خارج ASCII — كي يُعرض قالبك باتساق عبر العملاء الذين قد لا يشاركونك ترميز المحارف.

تحويل النص لترميز محارف قديم

تستهدف نظامًا لا يتعامل مع UTF-8 الخام؟ فعّل «ترميز كل ما هو خارج ASCII» لإعادة كتابة كل حرف مشكَّل ورمز وإيموجي ككيان آمن بـ ASCII، ضامنًا بقاء النص عبر مسارات نظيفة بسبع بتات.

تهريب قيم سمات XML وSVG

يتشارك XML وSVG المضمَّن أحرف HTML المحجوزة. رمّز علامات الاقتباس والأقواس الزاوية كي تنزلق سلسلة بها ترميز مضمَّن بأمان داخل قيمة سمة دون كسر بنية المستند.

البحث عن كيان بسرعة

نسيت إن كانت علامة العلامة التجارية هي &trade; أم &#x2122;؟ اكتب الحرف، واقرأ كيانه المُسمّى والعشري والسداسي من الخرج، أو راجع جدول المرجع السريع المدمج دون مغادرة الصفحة.

كيف يعمل المُرمِّز

وضع الأحرف الخاصة (الافتراضي)

افتراضيًا تُهرَّب الأحرف الخمسة المحجوزة في HTML فقط — & < > " ' — باتّباع قواعد تسلسل WHATWG HTML لخرج آمن. تُستبدل & أولًا كي لا تُهرَّب الكيانات المنتَجة للأحرف الأخرى مرتين. وتمرّ كل الأحرف الأخرى، بما فيها ما هو خارج ASCII، دون تغيير.

الفاصلة العليا تستخدم &#x27;

بدلًا من المُسمّى &apos; — غير المعرَّف في HTML4 وغير الآمن في بعض المحلِّلات القديمة — تُصدَر الفاصلة العليا كالرقمي &#x27; (العشري &#39;)، مشيرةً إلى U+0027. هذا يطابق عُرف مكتبات مختبَرة جيدًا مثل he ويضمن أن الخرج آمن في HTML4 وHTML5 وXML على حد سواء.

الترميز بالاسم والعشري والسداسي عشري

يتحكم محدّد الصيغة في كيفية كتابة كل حرف مُهرَّب: بالاسم يستخدم تسميات معرَّفة حيثما وُجدت (&lt;، &copy;)، والعشري يكتب نقطة الترميز اليونيكودية بالأساس 10 (&#60;)، والسداسي يكتبها بالأساس 16 (&#x3C;). تشير الأشكال الرقمية إلى نقاط الترميز نفسها التي تشير إليها الأشكال المُسمّاة وهي متبادلة عند التحليل.

خيار ترميز كل ما هو خارج ASCII

عند التفعيل، يُحوَّل كل حرف نقطة ترميزه فوق 0x7F إلى كيان بالصيغة المختارة — يصبح café هو caf&eacute; (بالاسم)، أو caf&#233; (عشري)، أو caf&#xE9; (سداسي). تُرمَّز الأحرف النجمية مثل الإيموجي بنقطة ترميزها الكاملة (😀 → &#x1F600;). هذا ينتج خرج ASCII نظيفًا بسبع بتات للنقل القديم.

ترميز المحارف مقابل الكيانات

يحدّد ترميز المحارف كيف يُخزَّن النص كبايتات؛ والكيان طريقة لهجاء حرف باستخدام ASCII فقط. على صفحة UTF-8 لا تحتاج الأحرف خارج ASCII أي كيان، ولهذا يتركها الافتراضي خامًا. ترميز كل شيء ضروري فقط حين يجب أن يعبر الخرج ترميز محارف غير يونيكودي أو نظامًا معاديًا لـ UTF-8.

محلي بالمتصفح، صفر شبكة

يجري الترميز تزامنيًا في JavaScript داخل المتصفّح؛ بلا استدعاء واجهة برمجية، بلا ذهاب وإياب عامل إلى خادم، وبلا حفظ. لا يغادر المدخل الصفحة أبدًا، وهو ما يمكنك تأكيده بمراقبة لوحة Network فارغة أثناء الكتابة.

أفضل ممارسات تهريب HTML

رمّز عند الإخراج، في السياق الصحيح

رمّز البيانات لحظة إدخالها في HTML، لا حين تستقبلها، وطابِق الترميز للسياق. ترميز كيانات HTML لمحتوى عنصر HTML وسماته؛ واستخدم ترميز URL داخل عناوين URL وتهريب JavaScript / JSON داخل كتل السكربت. الترميز في السياق الخطأ يترك ثغرة.

هرّب المدخل غير الموثوق دائمًا

أي سلسلة تأتي من مستخدم أو رفع أو واجهة برمجية خارجية يجب تهريبها قبل أن تحطّ في ترميزك. هذا هو الدفاع الأساسي ضد XSS: تصبح حمولة مثل <script>alert(1)</script> نصًا خاملًا حالما تصير الأقواس الزاوية كيانات.

فضّل التهريب المدمج حيثما وُجد

تهرّب React وVue ومعظم محرّكات القوالب على الخادم النصَّ المُدرَج تلقائيًا؛ كما يهرّب لك ضبط element.textContent أيضًا. استخدم هذه الأداة للتحويلات الفردية ولفهم الخرج — لكن في كود التطبيق، اتّكئ على التهريب التلقائي لإطار العمل بدل صناعته يدويًا.

اترك ما هو خارج ASCII خامًا على صفحات UTF-8

إن أعلنت صفحتك <meta charset="utf-8">، فلا ترمّز الحروف المشكَّلة والإيموجي إلى كيانات — UTF-8 الخام أقصر وأقرأ وصحيح تمامًا. احتفظ بـ «ترميز كل ما هو خارج ASCII» للحالات القديمة الحقيقية التي تتطلبه فعلًا.

استخدم الفاصلة العليا الرقمية في السياقات المختلطة

حين قد يستهلك الخرجَ محلِّلات قديمة أو معالِجات XML أو عملاء بريد، فضّل الرقمي &#x27; على المُسمّى &apos; للفاصلة العليا. الشكل الرقمي مفهوم عالميًا؛ والمُسمّى ليس كذلك، وظهور «&apos;» حرفيًا في النص المعروض خطأ شائع يمكن تجنّبه.

الأسئلة الشائعة