编码和解码所有 HTML5 实体 — 命名实体、十进制、十六进制三种格式,防 XSS,100% 浏览器本地
- 本地处理
- 分类 编码加密
- 适合 快速检查小 payload、令牌、哈希和编码值。
这个工具能做什么
功能完整的 HTML 实体编解码工具。把特殊字符转为命名实体(& < >)、 十进制引用(& <)或十六进制引用(& <),可选"仅危险字符"或 "所有非 ASCII"两种编码范围;反向解码支持 250+ 个 HTML5 命名实体、十进制和 十六进制数字引用。内置可搜索实体速查表,100% 浏览器本地处理,内容不上传。
工具细节
- 输入
- 文本 + 数值 + 结构化内容
- 页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
- 输出
- 即时结果 + 复制 + 预览
- 结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
- 隐私
- 浏览器本地处理
- 主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
- 保存 / 分享
- 可分享链接状态
- 关键设置会进入 URL,复制链接后别人能复现同一组参数。
- 性能预算
- 首屏 JS ≤ 22 KB
- 没有声明 WASM 依赖,适合快速打开和移动端使用。
- 适用场景
- 编码加密 · 程序员
- 分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。
怎么用
-
1. 输入
把内容粘贴或拖入工具面板。
-
2. 处理
点击按钮,在浏览器内本地处理,文件不上传。
-
3. 复制 / 下载
一键复制结果或下载到本地。
HTML 实体编码 / 解码 适合怎么用
适合做浏览器本地的编码、解码、哈希、令牌检查和可分享转换。
适合编码任务
- 快速检查小 payload、令牌、哈希和编码值。
- 把值整理好再放进 API、URL、文档或客服工单。
- 输入可能敏感时,尽量避开账号型在线工具。
编码检查项
- 真实密钥不要随便粘贴,除非确认能接受本地浏览器处理。
- 分享结果前确认这个操作是否可逆。
- 哈希值要核对算法和大小写是否符合对方要求。
下一步可以接着做
这些入口会把当前任务接到更完整的工具链里。
真实使用场景
把 CMS 收到的用户评论安全地渲染到页面
博客平台允许访客留言,内容可能包含尖括号和 &。存储或输出到 HTML 前, 用"仅危险字符"模式编码一遍。那 5 个关键字符被替换后, <script>alert(1)</script> 变成 <script>alert(1)</script>, 在页面上只显示为无害文字而不会被执行。
在 HTML 中安全插入排版特殊字符
你想在标题里放一个正式的破折号(—),但 CMS 会把"花哨"的 Unicode 过滤掉。 用十六进制或十进制编码 — — 或 — — 字符就能在任何 HTML 上下文里安全落地,不依赖文档字符集也不担心字体回退。
清理 CMS 导出数据里的双重转义实体
从旧 CMS 导出商品描述,每个撇号都变成了 &#39; — 被转义了两次。粘进 解码模式跑两次:第一次把 &#39; 还原成 ',第二次把 ' 还原成 '。 文本干净了,可以重新导入。
常见踩坑
双重编码:如果文本里已经有 &,再编码一次就变成 &amp;。只在不可信输入写入 HTML 输出的那一刻编码一次。
对整段 HTML 文档用'所有非 ASCII'模式编码:这会把 < 也变成 <,把标签结构完全破坏。只对文本值编码,绝不要对 HTML 标签本身编码。
只靠实体编码来保证属性安全:href= 里还需要校验协议头(拦截 javascript:);onclick= 里还要做 JS 转义。实体编码是必要条件,但对属性来说未必充分。
隐私说明
全部在浏览器里跑。你的文本由本地 JavaScript 字符串操作和内置实体查找表完成编解码,任何步骤都不发网络请求。开启分享链接后,输入内容和设置会写进页面 URL,方便复现你的状态 — 所以打算分享链接时,别粘贴密钥、token 或敏感 HTML 模板。
常见问题
类似工具组合
做你这行的人, 还会一起用这些。