В чём разница между именованными и числовыми сущностями?

Именованные — читаемые сокращения (© для ©). Числовые используют точку Unicode (© или ©). Числовые покрывают любой Unicode; именованные ограничены примерно 250 символами, описанными в спецификации HTML5.

Нужно ли кодировать все спецсимволы или только часть?

В HTML-теле достаточно закодировать & и кавычку, использованную в значениях атрибутов. В контекстах JavaScript и URL правила другие. Переключатель Охвата предлагает три варианта: Только зарезервированные — пять критических для XSS символов, Все специальные — типографика плюс зарезервированные, Все не-ASCII — самое широкое покрытие.

Не сломает ли кодирование копипасту или скринридеры?

Нет. Браузер декодирует сущности до отрисовки, пользователь видит и копирует исходный символ. Скринридеры тоже получают декодированную форму. Сущности — это транспортный формат разметки, а не финальный вывод.

Достаточно ли HTML-кодирования, чтобы остановить XSS?

Для текста в теле HTML — да. В атрибутах нужно ещё взять значение в кавычки и закодировать сам символ кавычки. В JavaScript, CSS и URL свои правила экранирования. Кодирование — первый слой, а не вся защита.

Почему одни сущности начинаются с &#x, а другие — с &#?

&#x — шестнадцатеричная точка, &# — десятичная. Оба варианта указывают на один и тот же символ: © и © — это ©. Шестнадцатеричная форма совпадает с записью U+ из Unicode и короче для высоких кодов.

Кодировщик/декодировщик HTML-сущностей

Кодирование и декодирование HTML-сущностей

Режим

Тип

Контекст

Охват

Ввод

Вывод

<div class="hero"> <h1>Привет & Добро пожаловать</h1> <p>Используйте "кавычки" & <скобки> свободно</p> </div>

символов: 501Режим: КодироватьТип: Именованные сущностиПреобразовано: 73

Ввод

113

Вывод

501

Разница

+388

Разбор по символам

(73)▾

Символ	Сущность	Кодовая точка
<	<	U+003C
"	"	U+0022
"	"	U+0022
>	>	U+003E
<	<	U+003C
>	>	U+003E
П	П	U+041F
р	р	U+0440
и	и	U+0438
в	в	U+0432
е	е	U+0435
т	т	U+0442
&	&	U+0026
Д	Д	U+0414
о	о	U+043E
б	б	U+0431
р	р	U+0440
о	о	U+043E
п	п	U+043F
о	о	U+043E
ж	ж	U+0436
а	а	U+0430
л	л	U+043B
о	о	U+043E
в	в	U+0432
а	а	U+0430
т	т	U+0442
ь	ь	U+044C
<	<	U+003C
>	>	U+003E
<	<	U+003C
>	>	U+003E
И	И	U+0418
с	с	U+0441
п	п	U+043F
о	о	U+043E
л	л	U+043B
ь	ь	U+044C
з	з	U+0437
у	у	U+0443
й	й	U+0439
т	т	U+0442
е	е	U+0435
"	"	U+0022
к	к	U+043A
а	а	U+0430
в	в	U+0432
ы	ы	U+044B
ч	ч	U+0447
к	к	U+043A
и	и	U+0438
"	"	U+0022
&	&	U+0026
<	<	U+003C
с	с	U+0441
к	к	U+043A
о	о	U+043E
б	б	U+0431
к	к	U+043A
и	и	U+0438
>	>	U+003E
с	с	U+0441
в	в	U+0432
о	о	U+043E
б	б	U+0431
о	о	U+043E
д	д	U+0434
н	н	U+043D
о	о	U+043E
<	<	U+003C
>	>	U+003E
<	<	U+003C
>	>	U+003E

Часто используемые HTML-сущности

(62)▾

Симв.	Именованные сущности	Десятичный	Шестнадцатеричный	Описание
&	&	&	&	Ampersand
<	<	<	<	Less than
>	>	>	>	Greater than
"	"	"	"	Double quote
'	'	'	'	Apostrophe
·				Non-breaking space
—	—	—	—	Em dash
–	–	–	–	En dash
…	…	…	…	Ellipsis
“	“	“	“	Left double quote
”	”	”	”	Right double quote
‘	‘	‘	‘	Left single quote
’	’	’	’	Right single quote
«	«	«	«	Left angle quote
»	»	»	»	Right angle quote
•	•	•	•	Bullet
†	&dagger;	†	†	Dagger
‡	&Dagger;	‡	‡	Double dagger
§	§	§	§	Section sign
¶	¶	¶	¶	Pilcrow
€	€	€	€	Euro
£	£	£	£	Pound sterling
¥	¥	¥	¥	Yen
¢	¢	¢	¢	Cent
¤	¤	¤	¤	Generic currency
©	©	©	©	Copyright
®	®	®	®	Registered
™	™	™	™	Trademark
°	°	°	°	Degree
¡	¡	¡	¡	Inverted exclamation
¿	¿	¿	¿	Inverted question mark
×	×	×	×	Multiplication
÷	÷	÷	÷	Division
±	±	±	±	Plus-minus
≠	≠	≠	≠	Not equal
≤	≤	≤	≤	Less than or equal
≥	≥	≥	≥	Greater than or equal
≈	≈	≈	≈	Approximately equal
∞	∞	∞	∞	Infinity
√	√	√	√	Square root
∑	∑	∑	∑	Summation
∏	∏	∏	∏	Product
∫	∫	∫	∫	Integral
∂	∂	∂	∂	Partial derivative
∇	∇	∇	∇	Nabla / del
α	α	α	α	Greek small alpha
β	β	β	β	Greek small beta
γ	γ	γ	γ	Greek small gamma
δ	δ	δ	δ	Greek small delta
μ	μ	μ	μ	Greek small mu
π	π	π	π	Greek small pi
σ	σ	σ	σ	Greek small sigma
Ω	Ω	Ω	Ω	Greek capital omega
Δ	Δ	Δ	Δ	Greek capital delta
←	←	←	←	Leftwards arrow
→	→	→	→	Rightwards arrow
↑	↑	↑	↑	Upwards arrow
↓	↓	↓	↓	Downwards arrow
↔	↔	↔	↔	Left right arrow
⇒	⇒	⇒	⇒	Rightwards double arrow
⇐	⇐	⇐	⇐	Leftwards double arrow
⇔	⇔	⇔	⇔	Left right double arrow

Что такое Кодировщик/декодировщик HTML-сущностей?

Кодировщик/декодировщик HTML-сущностей преобразует специальные символы, такие как <, >, & и кавычки, в их HTML-эквиваленты (и обратно). Это предотвращает XSS-уязвимости при встраивании пользовательского контента в HTML и устраняет проблемы с отображением специальных символов.

Кодировщик преобразует символы вроде <, >, &, ", ' и любой кодпойнт Unicode в именованные сущности (&, <), десятичные числовые ссылки (&) или шестнадцатеричные числовые ссылки (&). Переключатель охвата позволяет кодировать только пять зарезервированных символов, все специальные символы или каждый не-ASCII символ. Декодирование обращает любой из трёх форматов. Полезно для очистки пользовательского ввода перед выводом в HTML или для восстановления текста из экспортов HTML-писем.

Как использовать

Шаг 1 — Вставьте текст, содержащий специальные символы или HTML-сущности.
Шаг 2 — Выберите «Кодировать» для преобразования символов в сущности или «Декодировать» для обратного преобразования.
Шаг 3 — Выберите формат (именованный, десятичный или шестнадцатеричный) и охват для контроля интенсивности кодирования.

Когда использовать

Вставка примеров кода в CMS, чтобы < и > не съело как HTML-теги.
Очистка текста из HTML-писем или результатов парсинга, где остались — и  .
Экранирование пользовательского ввода перед вставкой в серверный шаблон против XSS.

Результат

Вам нужно отобразить фрагмент кода <div class=hero> внутри HTML-абзаца. Закодируйте его в <div class="hero">, чтобы устройство отображал текст, а не интерпретировал его как разметку.

Частые вопросы

В чём разница между именованными и числовыми сущностями?: Именованные — читаемые сокращения (© для ©). Числовые используют точку Unicode (© или ©). Числовые покрывают любой Unicode; именованные ограничены примерно 250 символами, описанными в спецификации HTML5.
Нужно ли кодировать все спецсимволы или только часть?: В HTML-теле достаточно закодировать & < > и кавычку, использованную в значениях атрибутов. В контекстах JavaScript и URL правила другие. Переключатель Охвата предлагает три варианта: Только зарезервированные — пять критических для XSS символов, Все специальные — типографика плюс зарезервированные, Все не-ASCII — самое широкое покрытие.
Не сломает ли кодирование копипасту или скринридеры?: Нет. Браузер декодирует сущности до отрисовки, пользователь видит и копирует исходный символ. Скринридеры тоже получают декодированную форму. Сущности — это транспортный формат разметки, а не финальный вывод.
Достаточно ли HTML-кодирования, чтобы остановить XSS?: Для текста в теле HTML — да. В атрибутах нужно ещё взять значение в кавычки и закодировать сам символ кавычки. В JavaScript, CSS и URL свои правила экранирования. Кодирование — первый слой, а не вся защита.
Почему одни сущности начинаются с &#x, а другие — с &#?: &#x — шестнадцатеричная точка, &# — десятичная. Оба варианта указывают на один и тот же символ: © и © — это ©. Шестнадцатеричная форма совпадает с записью U+ из Unicode и короче для высоких кодов.

Кодировщик/декодировщик HTML-сущностей

Ввод

Вывод

Разбор по символам

Часто используемые HTML-сущности

Что такое Кодировщик/декодировщик HTML-сущностей?

Как использовать

Когда использовать

Результат

Частые вопросы

Похожие инструменты

Поиск рифм

Решатель анаграмм

Поиск Unicode

Кодировщик/Декодировщик URL

Фонетический алфавит НАТО

Счётчик абзацев

Кодировщик/декодировщик HTML-сущностей

Ввод

Вывод

Разбор по символам

Часто используемые HTML-сущности