HTML 實體編碼 / 解碼
將特殊字元編碼為 HTML 實體或將其解碼還原
| 字元 | 實體 (Named) | 實體 (Numeric) | 名稱 |
|---|---|---|---|
| & | & | & | Ampersand |
| < | < | < | Less Than |
| > | > | > | Greater Than |
| " | " | " | Double Quote |
| ' | ' | ' | Apostrophe |
| ␣ | |   | Non-breaking Space |
| © | © | © | Copyright |
| ® | ® | ® | Registered |
| ™ | ™ | ™ | Trademark |
| € | € | € | Euro |
| £ | £ | £ | Pound |
| ¥ | ¥ | ¥ | Yen |
| « | « | « | Left Guillemet |
| » | » | » | Right Guillemet |
| — | — | — | Em Dash |
| – | – | – | En Dash |
| … | … | … | Ellipsis |
| · | · | · | Middle Dot |
| • | • | • | Bullet |
| × | × | × | Multiplication |
| ÷ | ÷ | ÷ | Division |
使用方法
貼上或輸入內容
在輸入區域輸入您的文字、程式碼或資料。
選擇選項
選取要套用的轉換方式或格式。
複製結果
一鍵將輸出結果複製到剪貼簿。
為什麼使用此工具
100% 免費
沒有隱藏費用,沒有付費等級——所有功能完全免費。
無需安裝
完全在瀏覽器中運行。無需下載或安裝任何軟體。
隱私且安全
您的資料永遠不會離開您的裝置。不會上傳至任何伺服器。
支援行動裝置
完全響應式設計——在手機、平板或桌面電腦上均可使用。
HTML 實體編碼指南:安全處理網頁中的特殊字元
重點摘要
- HTML 實體編碼可防止 XSS 攻擊——將使用者輸入中的 < > 轉為安全形式
- 常見實體:& (&)、< (<)、> (>)、" (")、' (')
- HTML 實體有名稱形式(&)和數字形式(&)兩種表示方式
在 HTML 中,<、>、& 等字元有特殊含義。如果直接在網頁中顯示這些字元而不進行編碼,瀏覽器會將它們解釋為 HTML 標籤或實體開頭,可能導致顯示錯誤甚至安全漏洞(XSS 攻擊)。HTML 實體編碼將這些特殊字元轉換為安全的文字表示,是前端安全的基本功。
XSS
防範跨站腳本攻擊的第一道防線
常見用途
防範 XSS 攻擊
使用者輸入的內容如果包含 <script> 標籤,未經編碼直接輸出到網頁上會被瀏覽器執行。將 < 編碼為 < 就能安全顯示而不被執行。
顯示程式碼範例
技術部落格或文件中需要展示 HTML 原始碼時,必須將標籤符號編碼,否則瀏覽器會嘗試渲染這些標籤。
特殊符號輸入
版權符號(©)、商標符號(™)、箭頭(→)等不在標準鍵盤上的符號,可以用 HTML 實體(©、™、→)插入。
電子郵件模板
HTML 電子郵件中的特殊字元必須使用實體編碼,因為不同郵件客戶端的渲染引擎對原始特殊字元的處理不一致。
實用技巧
至少要編碼這五個字元:< > & " '——它們是 XSS 攻擊最常利用的字元。
現代前端框架(React、Vue)預設會自動轉義輸出內容,但使用 dangerouslySetInnerHTML 或 v-html 時需特別小心。
數字形式的實體(<)比名稱形式(<)更通用,所有瀏覽器都支援。
不要對已經編碼過的文字再次編碼,否則會出現 &amp; 這樣的雙重編碼問題。
本工具所有運算皆在您的瀏覽器本地完成,不會上傳任何資料至伺服器。內容僅供參考,請依實際需求進行驗證。