Codificatore di entità HTML gratuito — Escape HTML

Cos'è la codifica delle entità HTML?

// Server-side templates auto-escape, but when you build HTML by hand you must escape yourself.
// The five reserved characters and their safe entities:
//   <  →  &lt;     >  →  &gt;     &  →  &amp;     "  →  &quot;     '  →  &#x27;

// Node.js — escape untrusted input before inserting it into HTML element content.
function escapeHtml(str) {
  return str
    .replace(/&/g, '&amp;')   // & first, so later entities are not double-escaped
    .replace(/</g, '&lt;')
    .replace(/>/g, '&gt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&#x27;'); // numeric form — safe in HTML4, HTML5 and XML
}

const userInput = `<a href="x">Tom & Jerry's</a>`;
const safe = escapeHtml(userInput);
// → &lt;a href=&quot;x&quot;&gt;Tom &amp; Jerry&#x27;s&lt;/a&gt;
document.getElementById('out').innerHTML = `<p>${safe}</p>`; // renders as literal text

// ---------------------------------------------------------------
// In practice, prefer the platform's built-in escaping where it exists:
//   - React / Vue / Angular escape interpolated text by default
//   - Use textContent instead of innerHTML when you only need text:
//       el.textContent = userInput;  // the browser escapes for you
//   - Server frameworks (Jinja, ERB, Blade) auto-escape unless you opt out

Funzionalità principali

Esempi pratici

<a href="x">Tom & Jerry's</a>

<a href="x">Tom & Jerry's</a>

Visit our café — it's 😀

Visit our café — it's 😀

<>&"'

<>&"'

<>&"'

<>&"'

café

café  (named)  ·  café  (decimal)  ·  café  (hex)

Come usare il codificatore di entità HTML

1. 1

   Incolla il tuo HTML o testo

   Inserisci nel riquadro di input il markup o il testo semplice di cui vuoi fare l'escape. L'output codificato si aggiorna in tempo reale mentre digiti — non c'è alcun pulsante di invio e niente viene inviato da nessuna parte.

2. 2

   Scegli il formato dell'entità

   Con nome è l'impostazione predefinita leggibile (<, &, ©). Passa a Decimale (<) o Esadecimale (<) quando un sistema ricevente preferisce i riferimenti numerici o non puoi garantire che le entità con nome siano supportate.

3. 3

   Facoltativo: codifica tutti i non ASCII

   Lascia questa opzione disattivata per le moderne pagine UTF-8, così accenti ed emoji restano caratteri grezzi leggibili. Spuntala solo quando il testo deve sopravvivere a un charset legacy a singolo byte, il che converte ogni carattere superiore a 0x7F in un'entità ASCII-safe.

4. 4

   Copia il risultato codificato

   Clicca Copia per mettere la stringa con escape negli appunti, pronta da incollare in un template, una pagina di documentazione o un campo di database. Cancella reimposta entrambi i riquadri per lo snippet successivo.

5. 5

   Serve l'inverso? Inverti direzione

   Usa Inverti direzione per passare al Decodificatore di entità HTML quando vuoi riconvertire le entità nei caratteri che rappresentano.

Errori comuni nella codifica HTML

replace < and > first, then &  →  &lt;  becomes  &amp;lt;

escape & first, then the rest  →  <  stays  <

It's here  →  may render as  It's here

It's here  →  renders as  It's here

&  encoded again  →  &  shows as  &

&  left as-is  →  renders as  &

href="/search?q=a&b c"  →  the space still breaks the URL

href="/search?q=a%26b%20c"  →  URL-encoded, valid

café on a UTF-8 page  →  needless, harder to read

café on a UTF-8 page  →  valid and clean

title="He said "hi""  →  attribute breaks out

title="He said "hi""  →  contained

Chi usa questo strumento

Mostrare esempi di codice in una pagina web

Stai scrivendo un tutorial o della documentazione che deve mostrare HTML letterale? Fai l'escape dello snippet così <strong>bold</strong> appare come testo anziché venire reso. Incolla il markup, copia l'output con escape e inseriscilo dentro un blocco <pre> o <code>.

Ripulire l'input dell'utente contro l'XSS

Prima di inserire qualsiasi stringa fornita dall'utente nel tuo HTML, fai l'escape dei cinque caratteri riservati così un payload come <script>…</script> diventa testo inerte. Questa è la difesa fondamentale contro il cross-site scripting quando costruisci il markup a mano.

Memorizzare markup in un campo di database o JSON

Devi salvare un frammento HTML come stringa semplice senza che venga interpretato a valle? Codificalo prima, così le parentesi angolari e le e commerciali sopravvivono alla memorizzazione e alla ri-visualizzazione intatte, poi decodifica al ritorno.

Creare template di email e contenuti CMS

I client di posta e i sistemi di gestione dei contenuti sono inflessibili con i caratteri speciali grezzi. Fai l'escape dell'insieme riservato — e facoltativamente di tutti i non ASCII — così il tuo template viene reso in modo coerente tra client che potrebbero non condividere il tuo charset.

Convertire testo per un charset legacy

Hai come bersaglio un sistema che non può gestire l'UTF-8 grezzo? Attiva "Codifica tutti i non ASCII" per riscrivere ogni lettera accentata, simbolo ed emoji come entità ASCII-safe, garantendo che il testo sopravviva al trasporto attraverso pipeline a 7 bit puliti.

Fare l'escape di valori di attributo XML e SVG

XML e SVG inline condividono i caratteri riservati dell'HTML. Codifica virgolette e parentesi angolari così una stringa con markup incorporato si inserisce in sicurezza nel valore di un attributo senza rompere la struttura del documento.

Cercare rapidamente un'entità

Dimenticato se il simbolo del marchio è ™ o ™? Digita il carattere, leggi la sua entità con nome, decimale ed esadecimale dall'output, oppure consulta la tabella di riferimento rapido integrata senza lasciare la pagina.

Come funziona il codificatore

Modalità caratteri speciali (predefinita)

Per impostazione predefinita vengono sottoposti a escape solo i cinque caratteri HTML riservati — & < > " ' — seguendo le regole di serializzazione HTML del WHATWG per un output sicuro. & viene sostituito per primo così che le entità prodotte per gli altri caratteri non vengano sottoposte a doppio escape. Tutti gli altri caratteri, inclusi i non ASCII, passano inalterati.

L'apostrofo usa '

Anziché l'&apos; con nome — che è indefinito in HTML4 e insicuro in alcuni parser legacy — l'apice singolo viene emesso come il numerico ' (decimale '), facendo riferimento a U+0027. Questo corrisponde alla convenzione di librerie ben collaudate come he e garantisce che l'output sia sicuro in HTML4, HTML5 e XML allo stesso modo.

Codifica con nome, decimale ed esadecimale

Il selettore di formato controlla come viene scritto ogni carattere sottoposto a escape: Con nome usa etichette definite dove esistono (<, ©), Decimale scrive il code point Unicode in base 10 (<) ed Esadecimale lo scrive in base 16 (<). Le forme numeriche fanno riferimento agli stessi code point delle forme con nome e sono interscambiabili una volta analizzate.

Opzione Codifica-tutti-i-non-ASCII

Quando abilitata, ogni carattere con code point superiore a 0x7F viene convertito in un'entità nel formato scelto — café diventa café (con nome), café (decimale) o café (esadecimale). I caratteri astrali come le emoji sono codificati con il loro code point completo (😀 → 😀). Questo produce un output ASCII a 7 bit puliti per il trasporto legacy.

Charset rispetto a entità

Un set di caratteri definisce come il testo è memorizzato come byte; un'entità è un modo di scrivere un carattere usando solo ASCII. Su una pagina UTF-8 i caratteri non ASCII non hanno bisogno di alcuna entità, ed è per questo che l'impostazione predefinita li lascia grezzi. Codificare tutto è necessario solo quando l'output deve attraversare un charset non Unicode o un sistema ostile all'UTF-8.

Locale nel browser, zero rete

La codifica gira in modo sincrono in JavaScript sul thread principale; non c'è alcuna chiamata API, nessun andata e ritorno a un server tramite worker e nessuna persistenza. L'input non lascia mai la pagina, cosa che puoi confermare osservando un pannello Network vuoto mentre digiti.

Buone pratiche per l'escape HTML

Fai l'escape all'output, nel contesto giusto

Codifica i dati nel momento in cui li inserisci nell'HTML, non quando li ricevi, e adatta la codifica al contesto. La codifica delle entità HTML è per il contenuto di elementi e attributi HTML; usa la codifica URL dentro gli URL e l'escape JavaScript/JSON dentro i blocchi di script. Fare l'escape nel contesto sbagliato lascia un buco.

Fai sempre l'escape dell'input non attendibile

Qualsiasi stringa che provenga da un utente, da un upload o da un'API esterna va sottoposta a escape prima di finire nel tuo markup. Questa è la difesa fondamentale contro l'XSS: un payload come <script>alert(1)</script> diventa testo inerte una volta che le parentesi angolari sono entità.

Preferisci l'escape integrato dove esiste

React, Vue e la maggior parte dei motori di templating lato server fanno l'escape del testo interpolato automaticamente; anche impostare element.textContent fa l'escape per te. Usa questo strumento per conversioni occasionali e per capire l'output — ma nel codice applicativo affidati all'auto-escape del framework anziché farlo a mano.

Lascia i non ASCII grezzi sulle pagine UTF-8

Se la tua pagina dichiara <meta charset="utf-8">, non codificare accenti ed emoji in entità — l'UTF-8 grezzo è più breve, più leggibile e altrettanto corretto. Riserva "Codifica tutti i non ASCII" ai genuini casi di charset legacy che lo richiedono davvero.

Usa l'apostrofo numerico in contesti misti

Quando l'output può essere consumato da parser più vecchi, processori XML o client di posta, preferisci il numerico ' all'&apos; con nome per l'apice singolo. La forma numerica è compresa ovunque; quella con nome no, e un "&apos;" letterale errante nel testo reso è un bug comune ed evitabile.

Domande frequenti