Does this run entirely in my browser?

Yes. Both escape and unescape use the browser's built-in DOM and string APIs. No content is sent to any server — paste freely, including content with secrets or PII.

Which HTML entities does it cover?

By default it escapes the five characters that matter for XSS: & (ampersand), (greater-than), " (double quote), and ' (apostrophe). Unescape additionally decodes all named HTML entities plus numeric character references (© and ©).

Is escaping alone enough to prevent XSS?

For plain HTML body text contexts, yes — escaping the five critical characters prevents tag injection. But other contexts (inline JavaScript, CSS, URLs, HTML attributes with unquoted values) require their own escaping or different defenses. Treat HTML escape as one layer in a defense-in-depth strategy.

What's the difference between escape and sanitize?

Escape preserves all input — it just makes potentially dangerous characters safe by converting them to entities. Sanitize removes content — it strips or rewrites whole tags and attributes that don't pass a whitelist. Use escape when you want to display plain text; sanitize when you want to allow some safe HTML.

Can I escape HTML for attribute values specifically?

Yes. The default escape mode covers double quotes (for double-quoted attributes) and single quotes (for single-quoted attributes). For maximum safety in attribute contexts, also avoid unquoted attribute values entirely — that's where the trickiest XSS vectors live.

Does it handle international characters?

Yes. Unicode characters pass through unchanged in escape mode (modern browsers handle UTF-8 natively). On the unescape side, numeric entities for any Unicode codepoint are decoded correctly, including emoji and characters from any script.

Why does my escaped string still get rendered as HTML?

You're probably using innerHTML or dangerouslySetInnerHTML somewhere downstream — these bypass escaping. Switch to textContent (DOM) or pass the value as a child node in React/JSX, which handles escaping automatically.

ConvertisseursPartie de Convertisseurs →

Échappement / Désechappement HTML

Échappe et déséchappe les entités HTML.

Vos données restent sur votre appareilSans envoi, sans serveurFonctionne hors ligne

Contexte d'échappement

Style d'entité

Glissez .html ou .txt (ou cliquez pour charger)Jusqu'à 5MB — traité dans votre navigateur

Entrée

Échappé

&lt;div class=&quot;tool&quot;&gt;&amp; &quot;fast&quot;&lt;/div&gt;

Déséchappé

<div class="tool">& "fast"</div>

Pourquoi utiliser cet outil

Convertit le texte en entités HTML sécurisées et décode les entités en texte.

Prépare le contenu pour les contextes de balisage HTML.

Conversion dans les deux sens instantanément.

Comment l'utiliser

01Collez du texte ou des entités HTML.

02Copiez la sortie échappée ou désechappée.

Vérifications rapides avant de copier

Confirmez que le format de saisie est celui attendu.

Vérifiez le résultat avant de l'utiliser dans un document, une URL, une config ou un message.

Copiez uniquement le résultat dont vous avez besoin.

FAQ

Le traitement est-il local ?

Oui. La conversion s'effectue entièrement dans le navigateur.

Quelles entités HTML sont prises en charge ?

L'ensemble standard : & (esperluette), < (inférieur à), > (supérieur à), " (guillemet double) et ' (apostrophe).

Cela protège-t-il contre les attaques XSS ?

Oui. L'échappement des entrées utilisateur prévient les injections HTML dans le contenu rendu dans un navigateur.

Échappement / Désechappement HTML

Pourquoi utiliser cet outil

Comment l'utiliser

Vérifications rapides avant de copier

FAQ

Outils liés

JSON Escape / Unescape

Encodeur / Décodeur d'URL

Formateur JSON

Échappement / Désechappement HTML

JSON Escape / Unescape→

Encodeur / Décodeur d'URL→

Formateur JSON→

JSON Escape / Unescape

Encodeur / Décodeur d'URL

Formateur JSON