跳到主要内容

HTML 实体编码与解码 — 命名/十进制/十六进制三种格式

编码和解码所有 HTML5 实体 — 命名实体、十进制、十六进制三种格式,防 XSS,100% 浏览器本地

  • 本地处理
  • 分类 编码加密
  • 适合 快速检查小 payload、令牌、哈希和编码值。
输出格式
编码范围

这个工具能做什么

功能完整的 HTML 实体编解码工具。把特殊字符转为命名实体(& < >)、 十进制引用(& <)或十六进制引用(& <),可选"仅危险字符"或 "所有非 ASCII"两种编码范围;反向解码支持 250+ 个 HTML5 命名实体、十进制和 十六进制数字引用。内置可搜索实体速查表,100% 浏览器本地处理,内容不上传。

工具细节

输入
文本 + 数值 + 结构化内容
页面会根据工具类型展示文本框、数值控件、文件选择或结构化输入。
输出
即时结果 + 复制 + 预览
结果区优先给出可操作结果,支持项会显示复制、下载或可视化预览。
隐私
浏览器本地处理
主工具逻辑未发现外部 API 调用,输入通常留在当前标签页内处理。
保存 / 分享
可分享链接状态
关键设置会进入 URL,复制链接后别人能复现同一组参数。
性能预算
首屏 JS ≤ 22 KB
没有声明 WASM 依赖,适合快速打开和移动端使用。
适用场景
编码加密 · 程序员
分类和职业标签用于推荐相关工具、组织内链,并帮助用户快速判断是否适合当前任务。

怎么用

  1. 1. 输入

    把内容粘贴或拖入工具面板。

  2. 2. 处理

    点击按钮,在浏览器内本地处理,文件不上传。

  3. 3. 复制 / 下载

    一键复制结果或下载到本地。

HTML 实体编码 / 解码 适合怎么用

适合做浏览器本地的编码、解码、哈希、令牌检查和可分享转换。

适合编码任务

  • 快速检查小 payload、令牌、哈希和编码值。
  • 把值整理好再放进 API、URL、文档或客服工单。
  • 输入可能敏感时,尽量避开账号型在线工具。

编码检查项

  • 真实密钥不要随便粘贴,除非确认能接受本地浏览器处理。
  • 分享结果前确认这个操作是否可逆。
  • 哈希值要核对算法和大小写是否符合对方要求。

下一步可以接着做

这些入口会把当前任务接到更完整的工具链里。

  1. 1 HTML 实体转换 HTML 实体编码 / 解码:& < > " ' 与所有数字引用,纯浏览器本地 打开
  2. 2 URL 编码 / 解码 把空格、中文、emoji 等特殊字符转 %xx 百分号编码,或反向解码,全程浏览器本地 打开
  3. 3 Base64 编码 / 解码 文本、文件、Data URL 一站搞定,纯浏览器运行,数据不离开本地。 打开

真实使用场景

  • 把 CMS 收到的用户评论安全地渲染到页面

    博客平台允许访客留言,内容可能包含尖括号和 &。存储或输出到 HTML 前, 用"仅危险字符"模式编码一遍。那 5 个关键字符被替换后, <script>alert(1)</script> 变成 &lt;script&gt;alert(1)&lt;/script&gt;, 在页面上只显示为无害文字而不会被执行。

  • 在 HTML 中安全插入排版特殊字符

    你想在标题里放一个正式的破折号(—),但 CMS 会把"花哨"的 Unicode 过滤掉。 用十六进制或十进制编码 — &#x2014; 或 &#8212; — 字符就能在任何 HTML 上下文里安全落地,不依赖文档字符集也不担心字体回退。

  • 清理 CMS 导出数据里的双重转义实体

    从旧 CMS 导出商品描述,每个撇号都变成了 &amp;#39; — 被转义了两次。粘进 解码模式跑两次:第一次把 &amp;#39; 还原成 &#39;,第二次把 &#39; 还原成 '。 文本干净了,可以重新导入。

常见踩坑

  • 双重编码:如果文本里已经有 &amp;,再编码一次就变成 &amp;amp;。只在不可信输入写入 HTML 输出的那一刻编码一次。

  • 对整段 HTML 文档用'所有非 ASCII'模式编码:这会把 &lt; 也变成 &#60;,把标签结构完全破坏。只对文本值编码,绝不要对 HTML 标签本身编码。

  • 只靠实体编码来保证属性安全:href= 里还需要校验协议头(拦截 javascript:);onclick= 里还要做 JS 转义。实体编码是必要条件,但对属性来说未必充分。

隐私说明

全部在浏览器里跑。你的文本由本地 JavaScript 字符串操作和内置实体查找表完成编解码,任何步骤都不发网络请求。开启分享链接后,输入内容和设置会写进页面 URL,方便复现你的状态 — 所以打算分享链接时,别粘贴密钥、token 或敏感 HTML 模板。

变成 <script>alert(1)</script>,\n在页面上只显示为无害文字而不会被执行。\n"}},{"@type":"Question","name":"在 HTML 中安全插入排版特殊字符","acceptedAnswer":{"@type":"Answer","text":"你想在标题里放一个正式的破折号(—),但 CMS 会把\"花哨\"的 Unicode 过滤掉。\n用十六进制或十进制编码 — — 或 — — 字符就能在任何 HTML\n上下文里安全落地,不依赖文档字符集也不担心字体回退。\n"}},{"@type":"Question","name":"清理 CMS 导出数据里的双重转义实体","acceptedAnswer":{"@type":"Answer","text":"从旧 CMS 导出商品描述,每个撇号都变成了 &#39; — 被转义了两次。粘进\n解码模式跑两次:第一次把 &#39; 还原成 ',第二次把 ' 还原成 '。\n文本干净了,可以重新导入。\n"}}]}

常见问题

类似工具组合

做你这行的人, 还会一起用这些。

Made by Toolora · 100% client-side · Updated 2026-07-01