← 返回首页

HTML 实体编码

功能亮点

编解码双向

文本 ↔ HTML 实体编码双向转换,命名实体和数字实体都支持。

XSS 防护基础

对用户输入做实体编码是防止跨站脚本注入的第一步。

即输即转

粘贴文本立刻看到编码或解码结果。

复制即用

编码后的字符串可直接嵌入 HTML 源码中安全展示。

使用步骤

  1. 粘贴要编码/解码的文本;
  2. 点「编码」转 HTML 实体,或点「解码」还原原文;
  3. 复制结果粘贴到 HTML 代码中使用。

HTML 实体和 XSS 防护

XSS(跨站脚本攻击)是最常见的 Web 安全漏洞之一——攻击者把恶意脚本注入网页,窃取用户 Cookie 或执行未授权操作。对所有渲染到 HTML 中的用户输入做实体编码是防范 XSS 的第一道防线:将 < 转为 &lt;,浏览器就不会把用户输入当成标签来解析,而是原样显示文本。现代前端框架(React、Vue)在 JSX 和模板中默认做此转义——但如果你在用原生 DOM 操作或服务端渲染,别忘了手动处理。

常见问题

HTML 实体编码和 URL 编码是一样的吗?
不同。HTML 实体用于 HTML 文档中表示特殊字符(用 & 开头),URL 编码用于 URL 中表示特殊字符(用 % 开头)。字符 < 在 HTML 中写作 &lt;,在 URL 中写作 %3C。两者使用场景和语法都不同,不可混用。
只做实体编码够不够防 XSS?
不够——实体编码只是多层防御中的一层。完整防护还需要:① 设置 Content-Security-Policy(CSP)HTTP 头;② 使用 HttpOnly Cookie(防止 JS 读取);③ 对用户输入的 URL 做协议白名单检查(防止 javascript: 协议注入);④ 在 HTML 属性、JavaScript 代码、CSS 等不同上下文中使用合适的编码方式。