Unsichtbare-Zeichen-Detektor

So verwendest du den Unsichtbare-Zeichen-Detektor

1. Füge deinen verdächtigen Text in den großen Eingabebereich ein. Der Scan läuft automatisch bei jedem Tastenanschlag, daher musst du keine Schaltfläche klicken.
2. Lies die Zusammenfassungskarte oben. Sie listet auf, wie viele unsichtbare Zeichen gefunden wurden, aufgeschlüsselt nach Unicode-Kategorie (Nullbreite, Bidi-Steuerung, Leerzeichen, BOM, Trennzeichen).
3. Öffne die Details-Tabelle, um jedes Vorkommen mit seinem Code-Punkt, Unicode-Namen und Byte-Offset in der Eingabe zu sehen, damit du zur exakten Stelle in deinem Editor springen kannst.
4. Scrolle die hervorgehobene Vorschau unterhalb der Tabelle. Jedes versteckte Zeichen wird durch ein farbiges Tag wie [U+200B] ersetzt, damit du den Eindringling visuell lokalisieren kannst.
5. Klicke auf "Text bereinigen", um jedes erkannte Zeichen an Ort und Stelle zu entfernen, oder auf "Bereinigten Text kopieren", wenn du das Original im Textarea unangetastet lassen möchtest.
6. Füge das bereinigte Ergebnis zurück in deinen Editor, Commit oder wohin auch immer der fehlerhafte Text ursprünglich kam.

Intern

Der Detektor geht die Eingabe mit Array.from(str) durch, sodass er über Unicode-Code-Punkte statt UTF-16-Code-Einheiten iteriert, dann prüft er jeden Code-Punkt gegen eine kuratierte Gruppe von Kategorien: Cf (Format-Steuerung), Cc (Steuerung), Zs (Leerzeichen-Trennzeichen außer U+0020), Zl (Zeilentrennzeichen), Zp (Absatztrennzeichen) und eine spezifische Allow-List von Nullbreiten-Joinern, Variationsselektoren und Bidi-Marken. Entscheidungen werden durch den Code-Punkt selbst getroffen, nicht durch das visuelle Rendering des Zeichens, sodass in deiner Systemschriftart fehlende Glyphen keine falsch-positiven Ergebnisse verursachen. Der Hervorhebungs-Pass ersetzt jedes erkannte Zeichen durch ein <span>-Tag mit DOM-Textknoten statt innerHTML, was bedeutet, dass die Vorschau keine ausführbaren Markierungen einführen kann, selbst für pathologische Eingaben.

Warum du Text durch dieses Tool laufen lassen würdest

• Ein kopierter Shell-Befehl schlägt weiterhin mit "Befehl nicht gefunden" fehl, weil ein Nullbreiten-Leerzeichen zwischen git und status versteckt ist.
• Der Zeichenfolgenvergleich deiner Programmiersprache gibt false für zwei Werte zurück, die auf dem Bildschirm identisch aussehen.
• Du hast ein Passwort aus einem Passwortmanager eingefügt und die Authentifizierung schlägt fehl, weil eine bidirektionale Marke mitgereist ist.
• Eine JSON-Datei schlägt mit einem kryptischen "Unerwartetes Token"-Fehler in Spalte 1 fehl wegen einer UTF-8-BOM.
• Du hast einen Word-Dokument-Export erhalten, der weiche Bindestriche (U+00AD) enthält, die grep unterbrechen und in der Wortmitte umbrechen.
• Du prüfst eine KI-generierte Antwort auf Homoglyph-Angriffe oder Trojan-Source-ähnliche versteckte Steuerzeichen, bevor du sie in die Produktion lieferst.

Häufige Fallstricke und Randfälle

• ZWJ-Emoji-Sequenzen. Das Familie-aus-vier-Emoji verbindet vier Personen mit Nullbreiten-Joinern (U+200D). Diese sind absichtlich und das Entfernen bricht das zusammengesetzte Glyphe. Der Detektor markiert sie, aber du solltest sie behalten.
• Variationsselektoren. U+FE0F ändert ein Basiszeichen in seine Emoji-Präsentation (wie das rote Herz). Das Entfernen kann farbige Emojis wieder in normale Text-Glyphen verwandeln.
• Arabische und hebräische Bidi-Marken. U+200E (LRM) und U+200F (RLM) können in Rechts-nach-Links-Text legitim sein. Das blinde Entfernen kann die Satzreihenfolge unterbrechen.
• Die UTF-8-BOM (U+FEFF). In den meisten Texteditoren harmlos, bricht aber Shebang-Parsing (#!/bin/sh), JSON-Parser und HTTP-Content-Type-Sniffing, wenn sie am Anfang einer Datei erscheint.
• Nicht-umbrechendes Leerzeichen (U+00A0). Visuell identisch mit einem normalen Leerzeichen, wird aber von \s in einigen Regex-Varianten nicht erkannt und schlägt fehl beim Aufteilen mit str.split(' ').
• Tabs und reguläre Leerzeichen werden nicht markiert, weil sie sichtbares Leerzeichen sind. Verwende das Whitespace-Remover-Tool, wenn du sie entfernen musst.

Unicode-Kategoriehintergrund

Jeder Unicode-Code-Punkt ist einer General_Category-Eigenschaft zugewiesen, die ihn in Klassen wie Buchstabe, Zahl, Interpunktion, Symbol, Markierung, Trennzeichen oder Sonstiges einteilt. Die "unsichtbare" Klasse ist keine einzelne Kategorie - es ist eine informelle Vereinigung aus mehreren: Cf (Format-Zeichen wie Nullbreiten-Joiner und Bidi-Marken), Cc (Steuer-Codes wie NULL und der Shell-Piep), Zl und Zp (Zeilen- und Absatztrennzeichen U+2028 und U+2029) und viele der Zs-Leerzeichen-Zeichen jenseits von U+0020 (En-Leerzeichen, Em-Leerzeichen, Haar-Leerzeichen, Mongolischer Vokal-Trenner). Unicode Technical Standard #39 (Unicode-Sicherheitsmechanismen) und das Trojan-Source-Forschungspapier (CVE-2021-42574) dokumentieren, wie diese Zeichen als Waffe eingesetzt werden können, um bösartigen Code an der menschlichen Überprüfung vorbei zu schmuggeln. Unicode UAX #31, das Bezeichner-Syntax behandelt, empfiehlt, Programmiersprachen-Bezeichner auf eine konservative Teilmenge zu beschränken, um solche Angriffe zu verhindern.

Vergleich zu Alternativen

Unter Linux kannst du unsichtbare Zeichen mit cat -A erkennen, das Nicht-Druckbare in Caret-Notation umwandelt, oder mit hexdump -C für Byte-Level-Gewissheit. Editoren wie VS Code, Sublime Text und JetBrains IDEs haben optionales Rendering von Leerzeichen und Bidi-Zeichen, das sie inline enthüllt. Viele Sprachen-Linter (zum Beispiel eslint-plugin-no-bidi und gitleaks) markieren Trojan-Source- und Homoglyph-Angriffe zur Commit-Zeit. Das npm-Paket strip-invisible-characters oder das Python-unicodedata-Modul lassen dich das Bereinigen zur Build-Zeit skripten. Verwende diesen Web-Detektor, wenn du ein Snippet hast, das du über Chat oder E-Mail erhalten hast, und eine sofortige visuelle Aufschlüsselung möchtest, ohne ein Terminal zu öffnen oder Plugins zu installieren - besonders nützlich auf einem Chromebook, einem Telefon oder einem gesperrten Arbeitslaptop.