HTML Escape

Vad är HTML Escape?

HTML escaping konverterar specialtecken som <, >, & till HTML-entiteter (<, >, &). Detta förhindrar XSS-attacker och säkerställer att text visas korrekt i HTML utan att tolkas som kod.

Hur man använder HTML Escape-verktyget

Skriv in texten du vill escape.
Klicka på "Escape"-knappen.
Kopiera den escapade HTML:en.
Använd den säkert i ditt HTML-dokument.

Detta gratis HTML escape-verktyg konverterar specialtecken till HTML-entiteter. Perfekt för utvecklare som behöver visa HTML-kod säkert på webbsidor.

Behöver du avkoda HTML? Prova vårt HTML Unescape-verktyg →

Vanliga Frågor

Varför måste jag escapa HTML? Om du infogar opålitligt innehål direkt i HTML utan escaping kan en användare injicera taggar som <script> eller event handlers som onclick= på din sida. Detta kallas XSS (Cross-Site Scripting) och är en av de vanligaste webbaserade säkerhetssårbarheter. Escaping neutraliserar alla tecken som kunde tolkas som HTML.

Vad är skillnaden mellan HTML-escaping och URL-kodning? HTML-escaping ersätter tecken med HTML-entiteter för säker inkludering i HTML-markup. URL-kodning (percent-encoding) ersätter tecken med %XX-sekvenser för säker inkludering i URL:er. Använd HTML-escaping för HTML-innehål och URL-kodning för URL-frågeparametrar — de tjänar olika sammanhang.

Ska jag escapa all användarinmatning? Ja — när den inmatningen kommer att rendereras som HTML. Som tumregel: escapa vid utmatning, inte vid inmatning. Lagra rå användarinmatning och escapa den varje gång du visar den i ett HTML-sammanhang. Escaping vid inmatning kan skada data som senare används i icke-HTML-sammanhang.

Skyddar HTML-escaping mot SQL-injektioner? Nej. HTML-escaping skyddar bara mot XSS i HTML-sammanhang. För att förhindra SQL-injektioner, använd parametriserade frågor eller förberedda satser i ditt databaslager. Olika sammanhang kräver olika escapingstrategier.

Keywords: HTML escape, HTML-entiteter, XSS-skydd, escape HTML-tecken