무료 HTML 엔티티 디코더 — HTML 언이스케이프

HTML 엔티티 디코딩이란?

// Decoding is the inverse of escaping. The classic round-trip:
//   &lt;  →  <     &gt;  →  >     &amp;  →  &     &quot;  →  "     &#x27;  →  '

// Browser — the safest decoder is the platform itself. Use textarea, NOT innerHTML on a live node,
// so the decoded markup is never executed.
function decodeHtml(str) {
  const ta = document.createElement('textarea');
  ta.innerHTML = str;        // the parser resolves entities into text
  return ta.value;           // .value is plain text — no script runs
}

decodeHtml('&lt;div&gt; &amp; &copy;');   // → '<div> & ©'
decodeHtml('&#60;&#x3E;');                // → '<>'
decodeHtml('&#x1F600;');                 // → '😀'
decodeHtml('&copy 2026');                // → '© 2026'  (lenient, no semicolon)

// ---------------------------------------------------------------
// SECURITY: decoded text is unescaped. Never do this with untrusted input:
//   el.innerHTML = decodeHtml(userInput);   // ❌ reopens the XSS hole
// If the decoded value must be displayed, re-escape it in its destination context first,
// or assign it as text:
//   el.textContent = decodeHtml(userInput); // ✅ shown as literal text

// ---------------------------------------------------------------
// Node.js (no DOM) — use a tested library such as he:
//   import { decode } from 'he';
//   decode('&lt;div&gt; &amp; &copy;');     // → '<div> & ©'

주요 기능

실전 예제

<div> & ©

<div> & ©

<>

<>

&copy 2026

© 2026

😀

😀

<a href="x">Tom & Jerry's</a>

<a href="x">Tom & Jerry's</a>

HTML 엔티티 디코더 사용법

1. 1

   이스케이프된 문자열 붙여넣기

   HTML 엔티티로 가득한 텍스트를 입력 상자에 넣으세요. 디코딩된 문자는 입력하는 대로 실시간 갱신됩니다. 제출 버튼도 없고 어디로도 전송되지 않습니다.

2. 2

   디코딩된 결과 읽기

   이름·10진수·16진수 참조가 이모지와 그 밖의 아스트랄 평면 코드 포인트를 포함해 그것들이 나타내는 문자로 자동 해석됩니다. 형식 선택이 필요 없습니다. 디코더가 각 참조의 종류를 감지합니다.

3. 3

   디코딩된 텍스트 복사

   복사를 클릭하면 복구된 문자가 클립보드에 담겨 편집기, 데이터베이스, 다른 도구에 붙여넣을 준비가 됩니다. 지우기는 다음 문자열을 위해 양쪽 창을 초기화합니다.

4. 4

   신뢰할 수 없는 텍스트를 다시 표시하기 전에 재이스케이프

   디코딩된 출력을 웹 페이지에 다시 렌더링할 예정이고 그중 일부가 신뢰할 수 없는 출처에서 왔다면, XSS 구멍을 다시 여는 것을 피하기 위해 먼저 인코더로 다시 이스케이프하세요.

5. 5

   인코딩이 필요하면 방향 전환

   원시 문자를 엔티티로 바꾸고 싶을 때 방향 전환으로 HTML 엔티티 인코더로 이동하세요.

흔한 HTML 디코딩 실수

el.innerHTML = decode(userInput)  →  script runs (XSS)

el.textContent = decode(userInput)  →  shown as text

<  decoded once  →  <  (still an entity)

&amp;lt;  decoded twice  →  <

HTML-decode "%3Cdiv%3E"  →  unchanged, still percent-encoded

URL-decode "%3Cdiv%3E"  →  <div>

regex for &name; only  →  😀 left undecoded

full decoder  →  😀 becomes 😀

decoded é into a Latin-1 file  →  é mojibake

decoded é into a UTF-8 file  →  é

strict parse of "&copy 2026"  →  &copy 2026 literal

lenient parse of "&copy 2026"  →  © 2026

누가 이 도구를 사용하나

이스케이프된 형태로 저장된 마크업 읽기

데이터베이스, 로그, JSON 필드에서 <div>…처럼 저장된 HTML 조각을 꺼내셨나요? 디코딩해 엔티티의 벽을 들여다보는 대신 실제 마크업을 보고 편집하세요.

이중 인코딩된 텍스트 디버깅

<가 보여야 할 라이브 페이지에서 &lt;가 보이나요? 여기에 붙여넣어 이중 인코딩 여부를 확인하고, 두 번 디코딩해 원본을 복구한 뒤 중복 이스케이프를 파이프라인의 출처까지 추적하세요.

HTML 조각에서 일반 텍스트 추출

이스케이프된 이메일 본문이나 CMS 필드에서 사람이 읽을 수 있는 텍스트가 필요하신가요? 콘텐츠를 색인·검색하거나 다른 곳에 표시하기 전에 엔티티를 디코딩해 실제 문자를 복구하세요.

스크랩·내보낸 데이터에서 문자 복구

내보내기와 스크레이퍼는 엔티티가 그대로 든 콘텐츠를 전달하는 경우가 많습니다. &, é 등을 해당 문자로 디코딩해, 데이터가 자체 시스템에 들어가기 전에 깨끗하게 만드세요.

인코더 출력의 왕복 검증

인코더로 문자열을 이스케이프한 뒤 여기서 디코딩해 원본이 변하지 않고 돌아오는지 확인하세요. 깨끗한 왕복은 이스케이프가 올바르고 되돌릴 수 있음을 증명합니다.

수수께끼 엔티티 해석

™이나 …이 실제로 무엇인지 막히셨나요? 붙여넣고 디코딩된 문자를 읽거나 내장 빠른 참조 표를 보세요. 엔티티 표를 외울 필요가 없습니다.

레거시 마크업 안전하게 디코딩

&copy나 &nbsp 같은 세미콜론 없는 엔티티를 일관성 없이 쓰는 오래된 HTML을 다루시나요? 관대한 디코더가 실제 브라우저처럼 의도된 문자를 복구하므로, 정리 결과가 사용자가 실제로 보는 것과 일치합니다.

디코더 작동 원리

세 참조 형태 모두 해석

디코더는 이름 참조를 전체 HTML5 이름 문자 표와 대조하고, 10진수 참조(&#NNN;)를 10진 코드 포인트로, 16진수 참조(&#xHHH;)를 16진 코드 포인트로 파싱합니다. 각각이 유니코드 문자로 해석되며 세 형태는 입력에서 서로 바꿔 쓸 수 있습니다.

아스트랄 평면 재구성

코드 포인트가 U+FFFF를 넘는 숫자 참조(대부분의 이모지와 많은 기호)는 올바른 서로게이트 쌍으로 변환되어 문자가 하나의 글리프로 렌더링됩니다. 😀은 깨진 반쪽 문자 둘이 아니라 😀가 됩니다.

관대한 레거시 엔티티 처리

정의된 일부 이름 엔티티가 역사적으로 끝의 세미콜론 없이 나타났고 브라우저는 여전히 이를 해석합니다. 디코더는 이 동작을 따라 &copy 2026이 © 2026이 되게 하며, 엄격한 XML 파서가 아니라 실제 브라우저의 렌더링과 일치합니다.

일반 텍스트에 멱등

인식되는 참조의 일부가 아닌 문자는 입력에 이미 있는 원시 비ASCII 텍스트를 포함해 그대로 통과합니다. 엔티티가 없는 문자열을 디코딩하면 변하지 않고 돌아오므로, 혼합 콘텐츠에서 실행해도 안전합니다.

디코딩된 출력은 언이스케이프 상태

디코딩은 XSS 방어 이스케이프의 역이므로 결과는 다시 살아 있는 마크업입니다. 이 도구는 이를 드러내어 디코딩된 신뢰할 수 없는 텍스트를 innerHTML로 페이지에 삽입하지 않도록 하니, 렌더링 전에 도착하는 문맥에서 다시 이스케이프하세요.

브라우저 로컬, 네트워크 제로

디코딩은 메인 스레드에서 자바스크립트로 동기 실행됩니다. API 호출도, 서버 왕복도, 영속 저장도 없습니다. 입력은 페이지를 벗어나지 않으며, 입력하는 동안 비어 있는 네트워크 패널을 지켜보면 확인할 수 있습니다.

HTML 언이스케이프 모범 사례

신뢰할 수 없는 디코딩 텍스트를 직접 렌더링하지 말 것

디코딩된 출력은 언이스케이프된 마크업입니다. 그중 일부가 사용자나 외부 출처에서 왔다면 페이지에 삽입하기 전에 다시 이스케이프하거나 innerHTML 대신 textContent로 할당하세요. 이를 건너뛰면 이스케이프가 막으려던 교차 사이트 스크립팅 구멍이 다시 열립니다.

인코딩의 역순으로 디코딩

한 값이 HTML 인코딩, 그다음 URL 인코딩, 그다음 Base64 인코딩될 수 있습니다. 적용된 반대 순서로 계층을 풀고, 각각에 맞는 도구를 쓰세요. 엔티티에는 이 도구를, 퍼센트 인코딩에는 URL 디코더를, base64에는 Base64 도구를 사용합니다.

반사적이 아니라 한 번만 디코딩

한 번 디코딩한 뒤 < 같은 엔티티가 남아 보이면 입력이 이중 인코딩된 것입니다. 다시 디코딩해 원본을 복구한 다음, 텍스트가 정확히 한 번만 이스케이프되도록 상류 파이프라인을 고치세요. 맹목적으로 반복하지 말고 그 추가 계층이 왜 있는지 이해하세요.

결과를 UTF-8로 제공

숫자 참조를 디코딩하면 악센트, 기호, 이모지 같은 실제 유니코드 문자가 나옵니다. 디코딩된 텍스트를 받는 페이지, 파일, 필드가 UTF-8인지 확인하세요. 그렇지 않으면 복구된 문자가 깨진 글자(모지바케)로 표시됩니다.

애플리케이션 코드에서는 검증된 라이브러리 선호

일회성 변환에는 이 도구가 이상적이지만, 운영에서는 직접 만든 정규식보다 잘 검증된 라이브러리(Node의 he, 분리된 textarea를 통한 브라우저 자체 파서)로 디코딩하세요. 직접 만든 정규식은 숫자 참조, 아스트랄 문자, 레거시 엔티티를 흔히 놓칩니다.

자주 묻는 질문