IQ
PayloadIQ
Utilitaires PayloadIQ

Encoder et décoder les entités HTML

Échappe ton texte en entités HTML, ou reconvertis les entités en texte brut. Tout se passe dans ton navigateur, en un coller.

Result appears here.

S'exécute dans ton navigateur. Ce que tu saisis n'est pas envoyé à PayloadIQ.

Cet outil encode et décode les entités HTML directement dans ton navigateur. À l'encodage, il échappe les cinq caractères que HTML traite spécialement — &, <, >, le guillemet double et l'apostrophe — pour que ton texte apparaisse littéralement dans la page au lieu d'être interprété comme des balises. Au décodage, il fait l'inverse : il résout les entités nommées (&amp;, &lt;, &quot;) ainsi que les formes numériques décimales et hexadécimales comme &#39; et &#x2F;. Aucune donnée n'est envoyée : tout le traitement reste sur ta machine.

Comment ça marche

L'encodage remplace simplement les cinq caractères réservés par leur entité : & devient &amp;, < devient &lt;, > devient &gt;, le guillemet devient &quot; et l'apostrophe &#39;. L'ordre compte — l'esperluette est traitée en premier pour ne pas réencoder les entités qu'on vient de produire. Le décodage suit la logique inverse : il convertit d'abord les entités numériques via String.fromCodePoint, puis les entités nommées, et résout &amp; en dernier pour que des séquences comme &amp;lt; se reconstruisent correctement. Le décodage n'utilise jamais innerHTML — uniquement des tables explicites — donc coller du markup hostile ne peut rien exécuter.

Quand t'en servir

C'est l'outil pratique dès que tu dois insérer du texte dans une page HTML sans qu'il soit interprété : afficher un extrait de code, glisser une chaîne dans un attribut, préparer le contenu d'un e-mail ou nettoyer une sortie copiée depuis un export. À l'inverse, le mode décodage te rend lisible un fragment truffé de &lt; et de &amp; récupéré dans un log, un fichier XML ou un payload d'API. Attention : l'échappement n'est pas de l'assainissement. Encoder du texte avant de l'injecter empêche qu'il soit lu comme du HTML, mais ça ne remplace pas un vrai sanitiseur quand tu acceptes du markup riche en entrée.

Questions fréquentes

Quels caractères sont échappés à l'encodage ?
Les cinq caractères réservés de HTML : l'esperluette (&), inférieur à (<), supérieur à (>), le guillemet double (") et l'apostrophe ('). Ce sont ceux qui peuvent casser une balise ou une valeur d'attribut s'ils restent littéraux.
Le décodage gère-t-il les entités numériques ?
Oui. En plus des entités nommées comme &amp; ou &lt;, l'outil résout les formes numériques décimales (&#39;) et hexadécimales (&#x2F;) en récupérant le point de code correspondant. Une valeur invalide est laissée telle quelle plutôt que corrompue.
Mes données sont-elles envoyées sur un serveur ?
Non. Tout l'encodage et le décodage s'exécute en JavaScript dans ton navigateur. Ton texte ne quitte jamais ta machine, il n'y a aucun envoi, aucun stockage et aucune inscription.
Est-ce que ça protège contre les failles XSS ?
Pas à lui seul. Encoder ton texte avant de l'afficher évite qu'il soit interprété comme du HTML, ce qui aide, mais ce n'est pas un assainisseur. Pour du markup riche fourni par un utilisateur, passe par une vraie bibliothèque de sanitisation.

Utilitaires associés

Base64 Encoder / DécoderEncoder / Décoder une URLÉchapper / Déséchapper du JSON
Ouvrir le PayloadIQ Playground