命名實體與數字實體有什麼差別?

命名實體(&)較易閱讀,但只在解析器認得該名稱時才有效。數字實體(&)與十六進位實體(&)在任何 HTML 或 XML 解析器中都能運作,因此在非瀏覽器情境(例如 RSS 或郵件)更安全。

我應該對所有字元編碼嗎?

不用。只編碼必要的內容(角括號、& 符號、引號)能讓輸出可讀且精簡。只有目的地是嚴格 ASCII 時,才需要對每個非 ASCII 位元組進行積極編碼。

可以。表情符號、重音字母與 CJK 字元都能正確編碼為數字或十六進位形式。解碼會原樣還原,包含旗幟表情符號這類多碼點序列。

在 HTML 中注入使用者輸入前先進行編碼是一個正確的起點,但並非整體解決方案。請同時搭配預設會跳脫內容的模板引擎,以及頁面上的內容安全策略(CSP)。

不會。編碼與解碼完全在您的瀏覽器中執行。沒有任何內容被上傳或記錄。

HTML 實體編碼與解碼工具

注重隱私的設計 — 完全在您的瀏覽器中執行

把特殊字元編碼為 HTML 實體,或把實體解碼回純文字。Toova 涵蓋完整的命名實體集、支援數字與十六進位參考,並完全在您的瀏覽器中執行——適合處理副本淨化、模板除錯與安全匯出內容。

HTML 有三種方式可以表達同一個字元:命名(&)、十進位數字(&)與十六進位(&)。Toova 預設輸出命名實體,因為較容易閱讀,但您可以視下游系統需求改用數字或十六進位模式。解碼則能透明處理這三種形式——貼上任何一種都能取得純文字。

對每個字元編碼會讓 HTML 膨脹、降低可讀性。預設情況下,Toova 只會編碼在 HTML 中具有特殊意義的字元——角括號、& 符號與引號。您可以切換成積極模式,把每個非 ASCII 字元都編碼,這在輸出嚴格僅 ASCII 的環境或建立靜態 HTML 郵件時很有用。

所有運算都發生在您的瀏覽器中。您貼上的輸入從不會被送到任何伺服器,內容也不會被記錄。當文字內容包含使用者提交的副本、客戶意見或任何應保持私密的資訊時,這就是正確的模式。在編碼期間,開發者工具的 Network 分頁會顯示零對外請求。

命名實體與數字實體有什麼差別?: 命名實體(&)較易閱讀,但只在解析器認得該名稱時才有效。數字實體(&)與十六進位實體(&)在任何 HTML 或 XML 解析器中都能運作,因此在非瀏覽器情境(例如 RSS 或郵件)更安全。
我應該對所有字元編碼嗎?: 不用。只編碼必要的內容(角括號、& 符號、引號)能讓輸出可讀且精簡。只有目的地是嚴格 ASCII 時,才需要對每個非 ASCII 位元組進行積極編碼。
能處理表情符號與非拉丁文字嗎?: 可以。表情符號、重音字母與 CJK 字元都能正確編碼為數字或十六進位形式。解碼會原樣還原,包含旗幟表情符號這類多碼點序列。
編碼能防止 XSS 嗎?: 在 HTML 中注入使用者輸入前先進行編碼是一個正確的起點,但並非整體解決方案。請同時搭配預設會跳脫內容的模板引擎,以及頁面上的內容安全策略(CSP)。
我貼上的文字會被送到任何地方嗎?: 不會。編碼與解碼完全在您的瀏覽器中執行。沒有任何內容被上傳或記錄。