跳到主要内容

HTML 实体编码与解码

HTML 实体编码 / 解码:& < > " ' 与所有数字引用,纯浏览器本地

  • 本地处理
  • 分类 文本
  • 适合 把日常写作和运营里的重复清理工作省掉。

这个工具能做什么

免费在线 HTML 实体编解码工具。把特殊字符(&、<、>、"、')转成 安全的 HTML 实体,在页面里能字面显示;或把已转义的 HTML 还原成 明文。支持命名实体(&amp;)和数字引用(&#38; / &#x26;)。 100% 浏览器本地处理。

工具细节

输入
文本 + 数值 + 结构化内容
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
免账号使用
打开页面即可使用;刷新后是否保留结果取决于具体工具。
性能预算
首屏 JS ≤ 6 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
文本 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

HTML 实体转换 适合怎么用

适合在文本进入文档、CMS、表格或提示词前,先清理、对比、整理或提取。

适合文本任务

  • 把日常写作和运营里的重复清理工作省掉。
  • 让文本更容易对比、粘贴、发布或交给下一个工具。
  • 内容还没公开或比较私密时,先在本地处理。

文本检查项

  • 留意多余空格、重复行和被误删的标点。
  • 长文本先试前几行,再处理全文。
  • 先看预览,确认没问题再复制结果。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 URL 编码 / 解码 把空格、中文、emoji 等特殊字符转 %xx 百分号编码,或反向解码,全程浏览器本地 打开
  2. 2 Base64 编码 / 解码 文本、文件、Data URL 一站搞定,纯浏览器运行,数据不离开本地。 打开
  3. 3 字符串转义 / 反转义 为 JSON、JS、Java、C、SQL、Shell、HTML、CSV、正则转义和反转义字符串(双向),浏览器本地 打开

真实使用场景

  • 在博客里原样显示一段代码标签

    你写教程想让读者看到字面的 <div class="card">,但浏览器总把它当成真 的元素解析掉。把它粘进来编码,拿到 &lt;div class=&quot;card&quot;&gt;, 直接放进文章 HTML,读者看到的就是标签本身,而不是一个空 div。

  • 堵住评论框的 XSS 漏洞

    有人在评论里提交 <script>alert(1)</script>。在把它输出到页面之前过一 遍编码,它会变成 &lt;script&gt;alert(1)&lt;/script&gt;,只当普通文字 显示。& < > " ' 这 5 个字符就能挡掉大部分反射型 XSS。

  • 还原从 CMS 复制出来的邮件 HTML

    你从 CMS 里复制一段商品描述,粘出来全是 &amp;eacute;、&amp;mdash;、 &amp;#8217; 这种被双重转义的内容。解码一次,这些 &amp; 就塌回成 é、 破折号、右单引号,邮件预览读起来才对,而不是满屏 &amp;。

  • 让 JSON 里携带的 HTML 不被截断

    接口返回的帮助文案带引号和尖括号,塞进前端模板就把结构撑坏了。先编码 成实体,字符串就能安全穿过 JSON 和 HTML 两层,展示时再解码。再也不会 在第一个 " 处被截断的提示气泡。

常见踩坑

  • 对已转义文本重复编码,把 &amp; 再编一次会得到 &amp;amp;。只在输出那一刻编码一次就够。

  • 以为编码就能保住属性安全,onclick= 或 href= 里还需要 URL/JS 转义,光做实体编码挡不住 javascript: 这类 URL。

  • 漏掉单引号,跳过 ' 会让 value='it's' 这种单引号属性裂开,5 个字符一个都不能少,别只转 < 和 >。

隐私说明

你的文本不会离开浏览器。编码和解码全程在 JavaScript 里用本地查找表加正则完成,任何环节都不发网络请求。当前输入可以写进分享链接,好让一条 URL 复现你的结果,所以打算分享链接时,别把密钥或私密内容粘进去。

。在把它输出到页面之前过一\n遍编码,它会变成 <script>alert(1)</script>,只当普通文字\n显示。& < > \" ' 这 5 个字符就能挡掉大部分反射型 XSS。\n"}},{"@type":"Question","name":"还原从 CMS 复制出来的邮件 HTML","acceptedAnswer":{"@type":"Answer","text":"你从 CMS 里复制一段商品描述,粘出来全是 &eacute;、&mdash;、\n&#8217; 这种被双重转义的内容。解码一次,这些 & 就塌回成 é、\n破折号、右单引号,邮件预览读起来才对,而不是满屏 &。\n"}},{"@type":"Question","name":"让 JSON 里携带的 HTML 不被截断","acceptedAnswer":{"@type":"Answer","text":"接口返回的帮助文案带引号和尖括号,塞进前端模板就把结构撑坏了。先编码\n成实体,字符串就能安全穿过 JSON 和 HTML 两层,展示时再解码。再也不会\n在第一个 \" 处被截断的提示气泡。\n"}}]}

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

Made by Toolora · 100% client-side · Updated 2026-07-02