HTML entity kódolás/dekódolás
HTML entity-k kódolása (&, <, >, ") és visszaalakítása – valós idejű, böngészőben.
Miről szól ez az eszköz?
A HTML entity kódoló és dekódoló eszköz lehetővé teszi a speciális HTML karakterek (&, <, >, ", ') entity formába kódolását és visszaalakítását. Elengedhetetlen az XSS támadások megelőzéséhez és a HTML tartalom helyes megjelenítéséhez.
Hogyan használd a(z) HTML entity kódolás/dekódolás-t?
-
Művelet kiválasztása
Válaszd ki a kódolás (escape) vagy dekódolás (unescape) műveletet.
-
Szöveg beillesztése
Illeszd be a kódolandó HTML szöveget vagy az entity-ket tartalmazó stringet.
-
Valós idejű eredmény
Az eredmény azonnal megjelenik gépelés közben.
-
Másolás
Másold ki az eredményt a vágólapra egyetlen kattintással.
Mikor van rá szükséged?
-
XSS védelem
Felhasználói input HTML entity kódolása a Cross-Site Scripting támadások megelőzésére.
-
Kódpéldák HTML-ben
HTML kódrészletek megjelenítése weboldalon: a < és > karakterek entity-ként jelennek meg, nem HTML tag-ként.
-
Email cím rejtés
Email címek HTML entity formában való elrejtése a spam botoktól a weboldalon.
-
CMS tartalom
WordPress, Joomla és egyéb CMS rendszerekben a speciális karakterek helyes megjelenítése entity kódolással.
Base64 vs URL encoding vs HTML entity összehasonlítás
| Tulajdonság | HTML entity | URL encoding | Base64 |
|---|---|---|---|
| Cél | HTML-safe karakterek | URL-safe karakterek | Bináris → szöveg |
| Formátum | & vagy & | %26 | Base64 string |
| Használat | HTML tartalom | URL paraméterek | Email, JWT, data URI |
| Biztonság | XSS védelem | URL injection védelem | Nem biztonsági célú |
| Visszaalakítható | Igen | Igen | Igen |
A HTML entity kódolásról
A HTML entity kódolás a HTML-ben speciális jelentéssel bíró karakterek helyettesítését jelenti entity hivatkozásokkal. Az öt alapvető karakter: & (ampersand), < (kisebb), > (nagyobb), " (idézőjel) és ' (aposztróf) – ezek entity nélkül megzavarnák a HTML parser-t.
Két fajta entity létezik: named entity (pl. &, <, ©) és numeric entity (pl. &, <, ©). A named entity-k olvashatóbbak, de nem minden karakternek van named változata – a numeric entity univerzálisabb.
A HTML entity kódolás az egyik legfontosabb biztonsági gyakorlat a web fejlesztésben. A felhasználói input entity kódolása nélkül az XSS (Cross-Site Scripting) támadások lehetővé tennék rosszindulatú JavaScript kód futtatását a weboldalon.
Hasznos tippek
-
Mindig kódold a felhasználói inputot HTML entity-ként megjelenítés előtt – ez az XSS védelem alapja.
-
HTML kódpéldáknál a < és > karaktereket mindig < és > formában írd.
-
A named entity-k olvashatóbbak (&), de a numeric entity-k (&) univerzálisabban támogatottak.
-
Ne keverd össze a HTML entity kódolást a URL kódolással – két különböző célra szolgálnak.
Gyakori kérdések
- HTML speciális karakterek (< > & " ') entity formába kódolására és visszaalakítására szolgál – elengedhetetlen a biztonságos HTML tartalom megjelenítéséhez.
- Igen. Minden feldolgozás a böngésződben történik, semmilyen adat nem kerül szerverre.
- Az alapvető HTML entity-k: & → &, < → <, > → >, " → ", ' → '. Opcionálisan minden nem-ASCII karakter is kódolható numerikus entity-ként.
- Az XSS (Cross-Site Scripting) támadások megelőzéséhez: ha a felhasználói inputot entity-ként kódolod, a beillesztett HTML/JS kód nem fut le, hanem szövegként jelenik meg.
- Igen, az eszköz teljesen reszponzív és bármilyen modern böngészőben működik.
- A named entity olvashatóbb (&, <), a numeric entity univerzálisabb (&, <). Mindkettő ugyanazt eredményezi a böngészőben.