Gratis HTML Escape / Unescape Online

Escapa y desescapa entidades HTML online — convierte caracteres especiales a entidades seguras al instante.

Entrada

Modo:

Salida

¿Qué es el Escape HTML?

Estás construyendo una página que muestra comentarios de usuarios y alguien envía <script>alert(1)</script>. Si renderizas eso sin escapar, acabas de publicar una vulnerabilidad XSS. El escape HTML convierte los cinco caracteres peligrosos (&, <, >, ", ') en sus equivalentes de entidades seguras, como se define en el HTML Living Standard. La referencia de entidades MDN tiene la lista completa.

Esta herramienta tiene dos modos: Escapar y Desescapar. Ambos se ejecutan completamente en tu navegador; no se envían datos a un servidor.

Cómo usar esta herramienta

1

Elegir modo

Selecciona Escapar para convertir caracteres especiales a entidades HTML, o Desescapar para convertir entidades de vuelta a sus caracteres originales.

2

Pegar o subir texto

Pega tu texto o HTML en el editor izquierdo, o usa Subir para cargar un archivo.

3

Copiar o descargar resultado

El panel derecho se actualiza automáticamente. Para formatear HTML, prueba la herramienta Formateador HTML.

Ejemplos de Escape HTML

El escape convierte caracteres especiales en entidades HTML:

Entrada sin procesar (con caracteres especiales)

Entrada

Salida escapada (entidades HTML)

Salida

Cuándo Importa el Escape HTML

Al mostrar contenido proporcionado por el usuario en HTML, debes escaparlo primero para prevenir ataques XSS.

El desescapado es útil cuando recibes contenido con escape HTML y quieres mostrar el texto original. Ver también HTML Unescape.

Preguntas frecuentes

¿Qué caracteres convierte la herramienta de escape HTML?

Las cinco entidades HTML estándar: &&amp;, <&lt;, >&gt;, "&quot;, '&#39;.

¿Se envían mis datos a un servidor?

No. Todo el procesamiento se ejecuta completamente en tu navegador con JavaScript. Tu texto nunca sale de tu máquina.

¿Es el escape HTML lo mismo que la codificación URL?

No. El escape HTML usa entidades nombradas/numéricas para contextos HTML. La codificación URL usa codificación porcentual para URLs.

¿Cómo previene el escape HTML los ataques XSS?

Al convertir < y > en entidades, las etiquetas <script> inyectadas se convierten en texto inofensivo en lugar de código ejecutable.

Herramientas relacionadas

Desescapar HTML Formateador HTML JSON Escape Minificador HTML XML Escape

Ver el HTML Living Standard para referencias de caracteres.