Gratuit HTML Escape / Unescape en Ligne
Échappez et désénappez les entités HTML en ligne — convertissez les caractères spéciaux en entités sûres instantanément.
Entrée
Sortie
Qu'est-ce que l'Échappement HTML ?
Vous construisez une page qui affiche des commentaires d'utilisateurs et quelqu'un soumet <script>alert(1)</script>. Si vous affichez ça sans échapper, vous venez de livrer une vulnérabilité XSS. L'échappement HTML convertit les cinq caractères dangereux (&, <, >, ", ') en leurs équivalents d'entités sûres tels que définis dans le HTML Living Standard. La référence des entités MDN contient la liste complète.
Cet outil a deux modes : Échapper et Désénapper. Les deux s'exécutent entièrement dans votre navigateur ; aucune donnée n'est envoyée à un serveur.
Comment utiliser cet outil
Choisir le mode
Sélectionnez Échapper pour convertir les caractères spéciaux en entités HTML, ou Désénapper pour reconvertir les entités en leurs caractères originaux.
Coller ou téléverser du texte
Collez votre texte ou HTML dans l'éditeur de gauche, ou utilisez Téléverser pour charger un fichier.
Copier ou télécharger le résultat
Le panneau de droite se met à jour automatiquement. Pour formater le HTML, essayez l'outil Formateur HTML.
Exemples d'Échappement HTML
L'échappement convertit les caractères spéciaux en entités HTML :
Entrée brute (avec caractères spéciaux)
Sortie échappée (entités HTML)
Quand l'Échappement HTML Est Important
Lors de l'affichage de contenu fourni par l'utilisateur en HTML, vous devez l'échapper d'abord pour prévenir les attaques XSS.
Le désénappement est utile lorsque vous recevez du contenu avec des entités HTML et souhaitez afficher le texte original. Voir aussi HTML Unescape.
Questions fréquentes
Quels caractères l'outil d'échappement HTML convertit-il ?
Les cinq entités HTML standard : & → &, < → <, > → >, " → ", ' → '.
Mes données sont-elles envoyées à un serveur ?
Non. Tout le traitement s'exécute entièrement dans votre navigateur en JavaScript. Votre texte ne quitte jamais votre machine.
L'échappement HTML est-il identique à l'encodage URL ?
Non. L'échappement HTML utilise des entités nommées/numériques pour les contextes HTML. L'encodage URL utilise l'encodage en pourcentage pour les URLs.
Comment l'échappement HTML prévient-il les attaques XSS ?
En convertissant < et > en entités, les balises <script> injectées deviennent du texte inoffensif au lieu de code exécutable.
Outils associés
Voir le HTML Living Standard pour les références de caractères.