Skip to main content

HTML Entity Encode / Decode

Encode special characters to HTML entities or decode them back.

Geprüft von · Zuletzt geprüft

Den HTML-Entity-Encoder/Decoder verwenden

  1. Wähle Kodieren oder Dekodieren mit dem Modus-Schalter. Kodieren wandelt Zeichen wie <, >, &, " und Apostroph in HTML-Entities um; Dekodieren kehrt den Vorgang um und wandelt &lt; wieder in <.
  2. Füge ein oder tippe Text in das Eingabefeld. Die Ausgabe aktualisiert sich bei jedem Tastendruck, sodass du die Umwandlung in Echtzeit siehst, ohne etwas klicken zu müssen.
  3. Aktiviere "Alle Nicht-ASCII kodieren" wenn du jedes Zeichen über Codepunkt 127 (Buchstaben mit Akzenten, Emoji, CJK) in numerische Entities umwandeln möchtest. Lasse es deaktiviert, um nur die fünf XML-Sonderzeichen zu kodieren.
  4. Verwende die Tausch-Schaltfläche um die Ausgabe in die Eingabe zu verschieben und den Modus umzukehren. Damit kannst du einen String hin- und zurückkodieren, um sicherzustellen, dass deine Kodierung verlustfrei ist.

Was der Codec tut und wie er vorgeht

Der Encoder durchsucht den Eingabestring Zeichen für Zeichen. Für jedes Zeichen prüft er eine Ersetzungstabelle. Die Standardtabelle umfasst die fünf vordefinierten XML-Entities: & wird zu &amp;, < zu &lt;, > zu &gt;, " zu &quot;, und das Apostroph zu &#39; (die benannte Entity &apos; ist gültig in XML, war aber historisch in älteren HTML-Versionen nicht vorhanden, daher ist die numerische Form sicherer). Mit aktiviertem "Alle Nicht-ASCII kodieren" gibt jedes Zeichen mit einem Codepunkt über 127 &#Code; in dezimal aus.

Der Decoder verarbeitet drei Entity-Formen: benannte Entities aus der HTML-Liste der benannten Zeichenreferenzen (&copy;, &euro;, &mdash; und über 2.000 weitere), dezimale numerische Referenzen (&#169;) und hexadezimale numerische Referenzen (&#xA9;). Jede Sequenz, die keine erkannte Entity ist, bleibt unverändert. Surrogatpaare in numerischer Form werden zu einzelnen Codepunkten zusammengesetzt, sodass Entities wie &#128512; korrekt in das lachende Emoji dekodiert werden.

Wann du dieses Werkzeug brauchst

  • Einen Code-Ausschnitt, der < oder > enthält, in eine HTML-Seite einzufügen, ohne das umgebende Markup zu zerstören.
  • Einen String für die sichere Aufnahme in ein XML-Dokument (SOAP-Anfrage, SVG, Atom-Feed) vorzubereiten, wo die fünf reservierten Zeichen kodiert sein müssen.
  • Text aus einem älteren CMS zu bereinigen, wo alles als Entities gespeichert wurde, und du einfaches Unicode zurückmöchtest.
  • Zu debuggen, warum eine Webseite &amp;amp; dreifach anzeigt - normalerweise ein Doppelkodierungsfehler, den du durch wiederholtes Dekodieren beheben kannst.
  • Reines ASCII für ein System zu erstellen (altes SMTP, alte SMS-Gateways), das UTF-8 nicht zuverlässig übertragen kann.
  • Einen langen eingefügten Text mit jeder Art von Satzzeichen zu kodieren, um zu sehen, welche in deinem Zielformat eine Maskierung benötigen.

Fallstricke

  • Das Apostroph. &apos; wurde in HTML5 hinzugefügt, fehlte aber in HTML4, daher erkennen ältere Werkzeuge es möglicherweise nicht. Der Encoder verwendet die numerische Form &#39; für maximale Kompatibilität mit HTML 4 und XML 1.0.
  • Semikolons sind erforderlich. Moderne Browser tolerieren fehlende Terminatoren bei Legacy-Entities (&copy ohne ;), aber ein strikter XML-Parser lehnt sie ab. Im Zweifelsfall das Semikolon immer einbeziehen.
  • Numerische Grenzen. HTML-numerische Zeichenreferenzen über 0x10FFFF sind ungültig. Der Decoder verwirft Werte außerhalb des Bereichs still, anstatt eine Best-Effort-Konvertierung zu versuchen.
  • Surrogatpaare. UTF-16-Surrogathaften (0xD800 bis 0xDFFF) sollten nicht als eigenständige Entities erscheinen. Wenn deine Eingabe diese enthält, gibt der Decoder das Ersatzzeichen U+FFFD aus, um das Problem anzuzeigen.
  • Doppelt kodierte Eingabe. &amp;lt; ist ein String, bei dem ein Ampersand auf einer bereits kodierten Entity kodiert wurde. Ein Decode-Durchlauf ergibt &lt;; ein zweiter ergibt <. Dekodiere erneut, bis die Ausgabe unverändert bleibt.

Spezifikationshintergrund

HTML-Zeichenreferenzen sind im HTML Living Standard der WHATWG definiert, insbesondere in den Abschnitten "Named character references" und "Character reference state" des Tokenizers. Die kanonische Liste der benannten Entities befindet sich unter html.spec.whatwg.org und enthält etwas über 2.000 Einträge, von denen einige Legacy-Kompatibilität mit oder ohne abschließendes Semikolon bieten. XML 1.0, Abschnitt 4.6, definiert nur die fünf vordefinierten Entities (amp, lt, gt, quot, apos) und erfordert, dass jede andere Entity in einer DTD deklariert wird. Das ist der Grund, warum ein String, der im Browser sauber dekodiert wird, in einem XML-Parser fehlschlagen kann - der XML-Parser hat kein implizites Wissen über &copy;. Numerische Zeichenreferenzen funktionieren in beiden Standards identisch.

Ähnliche Werkzeuge

Das html-Paket auf npm umschließt dieselben Entity-Tabellen und ist ein Drop-in-Ersatz, wenn diese Logik in einem Node-Skript benötigt wird. Das html-Modul der Python-Standardbibliothek (html.escape und html.unescape) deckt dieselben Anwendungsfälle ab. sed oder awk kann eine schnelle Fünf-Entity-Maskierung durchführen, kann aber nicht das vollständige benannte Entity-Lexikon verarbeiten. Die Chrome-DevTools-Konsole ermöglicht die Verwendung von document.createElement("textarea"), um einen String durch den eigenen Entity-Decoder des Browsers zu führen - schnell für einmalige Dekodierungen. Dieses Browser-Werkzeug erspart dir den Aufwand für all das, wenn du nur einen schnellen Hin- und Rücktransport brauchst.

Häufig gestellte Fragen

Welche Zeichen werden standardmäßig kodiert?

Die fünf HTML/XML-Sonderzeichen: <code>&amp;</code> wird zu <code>&amp;amp;</code>, <code>&lt;</code> zu <code>&amp;lt;</code>, <code>&gt;</code> zu <code>&amp;gt;</code>, <code>&quot;</code> zu <code>&amp;quot;</code>, und das Apostroph zu <code>&amp;#39;</code>. Das ist die Mindestmenge, die einen String in HTML-Textinhalt oder Attributwerten sicher macht. Alle anderen Zeichen bleiben unverändert, sodass Emoji, Buchstaben mit Akzenten und CJK-Text im Quellcode lesbar bleiben.

Was macht die Option "Alle Nicht-ASCII kodieren"?

Mit aktiviertem Schalter wird jedes Zeichen mit einem Codepunkt über 127 durch eine dezimale numerische Entity (<code>&amp;#</code>Code<code>;</code>) ersetzt. Die Ausgabe wird reines ASCII, was für Kontexte nützlich ist, die mit UTF-8 unzuverlässig sind - ältere E-Mail-Transporte, manche SMS-Gateways oder Systeme, die standardmäßig ISO-8859-1 verwenden. Der Nachteil ist eine deutlich schlechtere Lesbarkeit; deaktiviere die Option, wenn deine Pipeline durchgehend UTF-8 unterstützt.

Kann der Decoder benannte Entities verarbeiten?

Ja. Der Decoder akzeptiert jede benannte Zeichenreferenz aus dem HTML Living Standard, das sind über 2.000 Einträge. Häufige wie <code>&amp;copy;</code>, <code>&amp;reg;</code>, <code>&amp;euro;</code>, <code>&amp;nbsp;</code> und <code>&amp;mdash;</code> werden in ihre Unicode-Äquivalente dekodiert. Der Decoder toleriert auch einige Legacy-Entities, die in alten Browsern ohne abschließendes Semikolon funktionierten, obwohl der Encoder immer die Form mit Semikolon ausgibt.

Ist die Verwendung mit nicht vertrauenswürdigen Eingaben sicher?

Das Kodieren der fünf Sonderzeichen ist die Grundlage der XSS-Prävention, und dieses Werkzeug implementiert diese Kodierung korrekt. Sichere HTML-Ausgabe erfordert jedoch mehr als Entity-Kodierung: Es muss auch vermieden werden, gefährliche Attribute (<code>javascript:</code>-URLs), Skript-Kontexte und unsichere Verwendungen von Benutzereingaben in Inline-Event-Handlern zu verwenden. Bei der Verarbeitung nicht vertrauenswürdiger Inhalte sollte die Kodierung an der Ausgabegrenze im Web-Framework erfolgen, nicht als Kopier-Einfüge-Schritt.

Werden meine Texte an einen Server gesendet?

Nein. Der Codec läuft als Preact-Komponente in deinem Browser-Tab und verwendet ausschließlich In-Memory-Zeichenkettenoperationen. Es gibt keinen Fetch-Aufruf, keinen WebSocket und kein Logging. Nutzer testen häufig die Kodierung sensibler Strings (API-Schlüssel, interne URLs, persönliche Daten), und die lokale Verarbeitung ist dabei wichtig; du kannst dies mit den DevTools-Netzwerkdaten bestätigen, die während der Eingabe keine Anfragen anzeigen.

Wie werden Unicode-Codepunkte über U+FFFF kodiert?

In numerischer Form erscheinen sie als einzelne dezimale oder hexadezimale Referenz - zum Beispiel ist das "Haufen von Kacke"-Emoji <code>&#128169;</code> als <code>&amp;#128169;</code> in dezimal oder <code>&amp;#x1F4A9;</code> in hex dargestellt. JavaScript-Strings speichern diese intern als UTF-16-Surrogatpaare, aber der Encoder wandelt Paare in ihren ursprünglichen Codepunkt um, bevor er die Entity ausgibt. Der Decoder macht das Umgekehrte und setzt das Surrogatpaar wieder zusammen.

Kann ich die Ausgabe direkt in einem XML-Dokument verwenden?

Die Standard-Fünf-Entity-Kodierung entspricht genau dem, was XML 1.0 Abschnitt 4.6 definiert, also ja. Wenn du mit aktivierter Nicht-ASCII- Option kodiert hast, sind numerische Entities ebenfalls gültig in XML. Vermeide benannte Entities jenseits der fünf vordefinierten - <code>&amp;copy;</code>, <code>&amp;nbsp;</code> und andere sind HTML- spezifisch, und ein XML-Parser ohne DTD wird sie ablehnen.

Warum <code>&amp;#39;</code> statt <code>&amp;apos;</code>?

Historische Kompatibilität. Die benannte Entity <code>&amp;apos;</code> ist gültig in XML 1.0 und HTML5, war aber nicht in HTML 4.01 definiert; ältere Internet-Explorer-Versionen und manche E-Mail-Clients zeigen sie wörtlich statt sie zu dekodieren. Die numerische Form <code>&amp;#39;</code> funktioniert überall, wo Entities unterstützt werden, daher verwendet der Encoder sie standardmäßig für den Apostroph.

Was ist mit doppelt kodierten Texten?

Doppelte Kodierung tritt auf, wenn ein Text versehentlich zweimal kodiert wurde - <code>&amp;amp;lt;</code> für <code>&lt;</code>. Ein Decode-Durchlauf ergibt <code>&amp;lt;</code>; ein zweiter ergibt <code>&lt;</code>. Führe Decode wiederholt aus (die Tausch-Schaltfläche hilft beim Verketten von Operationen), bis die Ausgabe sich nicht mehr ändert. Die Grundursache ist meist ein Webformular, das Daten bei der Übermittlung erneut kodiert; behebe die Pipeline, anstatt manuelles Dekodieren zu verwenden.

Worin unterscheiden sich HTML-Kodierung und URL-Kodierung?

Sie lösen verschiedene Probleme. HTML-Kodierung (dieses Werkzeug) macht Text in HTML-Elementinhalt oder Attributwerten sicher, indem strukturelle Zeichen durch Entities ersetzt werden. URL-Kodierung (Prozent-Kodierung, RFC 3986) macht Text in einer URL sicher, indem reservierte Zeichen durch <code>%XX</code>-Sequenzen ersetzt werden. Ein String in einem Abfrageparameter eines HTML-Links benötigt beides - erst URL-kodiert, um eine gültige URL zu bilden, dann HTML-kodiert, damit die <code>&amp;</code>-Trennzeichen das HTML nicht zerstören. Verwende das URL-Encoder/Decoder-Werkzeug für die andere Richtung.

Mehr Developer Tools

AI Token Counter

Count tokens for GPT-4o, Claude, and Gemini models instantly.

Open tool

Base64 Encoder & Decoder

Encode UTF-8 text to Base64 online or decode Base64 back to UTF-8 and plain text. Runs in your browser with no upload.

Open tool

Bulk URL Encode / Decode

Encode or decode many URLs at once. Paste a newline-separated list and the tool processes each line in parallel, preserving order and blank lines.

Open tool

chmod Calculator

Calculate and convert Unix file permission modes between octal and symbolic.

Open tool

Code Screenshot

Create beautiful code snippet images with customizable themes.

Open tool

Color Converter

Convert colors between HEX, RGB, HSL and CMYK formats.

Open tool