HTML エンティティ エンコード/デコード
使い方
入力欄にテキストを入力します。エンコードモードではHTMLの特殊文字(&、<、>、"、')がエンティティに変換されます。デコードモードではHTMLエンティティが元の文字に復元されます。名前付きエンティティ(&、<、©)、10進数(A)、16進数(A)の数値参照に対応しています。
HTMLエンティティとは
HTMLエンティティは、HTMLマークアップで意味を持つ文字を表現するための特殊コードです。例えば<と>はHTMLタグを定義するため、テキストとして表示するには<と>を使う必要があります。アンパサンド(&)はすべてのエンティティの開始文字なので、&と書く必要があります。エンティティはXSS脆弱性の防止とHTMLの正確な表示に不可欠です。
活用シーン
- XSS(クロスサイトスクリプティング)攻撃の防止 — ユーザー入力をHTMLに表示する前にエスケープ
- ブログ記事へのコードスニペットの埋め込み — <pre>タグ内でタグ文字を正しく表示
- HTMLメールテンプレートの作成 — メールクライアント間での特殊文字の表示を統一
- CMSコンテンツのサニタイズ — 投稿やコメントに含まれるHTML構文の無害化
よく使われるHTMLエンティティ
- & → & (アンパサンド)— すべてのエンティティの起点文字
- < → < / > → > (不等号)— HTMLタグと区別するために必須
- " → " (ダブルクォート)— 属性値内で使用
- ' → ' (シングルクォート)— 属性値やJavaScript内で使用
- → 半角スペース(ノーブレークスペース)— 改行を防ぐスペース
- © → © / ® → ® — 著作権・登録商標マーク
- — → — / – → – — ダッシュ記号(全角・半角)
- … → … — 三点リーダー
プライバシー
すべてのエンコード・デコード処理はブラウザ内で完結します。データがサーバーに送信・保存・記録されることは一切ありません。機密コンテンツを含むHTMLも安心してエンコードできます。
よくある質問
HTMLエンティティのエンコードとURLエンコードは何が違いますか?
HTMLエンティティのエンコードは、マークアップで意味を持つ文字(&、<、>、引用符)を文字として表示できるようエスケープします(例: < は <)。URLエンコード(パーセントエンコード)はURL内で使うためのエスケープで、空白は %20 になります。本ツールはHTMLエンティティのエンコードのみを行い、URLエンコードは扱いません。
個人情報や機密テキストを含むHTMLをエンコードしても安全ですか?
はい。エンコード・デコード処理はすべてブラウザ内で完結し、サーバーへの送信・記録・保存は一切ありません。社内コンテンツや個人情報を含むテキストでも安心して処理できます。
デコードは10進数と16進数の数値参照の両方に対応していますか?
はい。デコードモードは名前付きエンティティ(&、<、©)、10進数の数値参照(例: A)、16進数の数値参照(例: A)のすべてに対応しており、いずれも元の文字に復元されます。
エンコードモードは具体的にどの文字をエスケープしますか?
エンコードモードはHTMLで意味を持つ5つの文字をエスケープします: &(&)、<(<)、>(>)、"(")、'(')。通常の英数字やその他のほとんどの記号はそのまま残ります。
ユーザー入力のXSS対策に使えますか?
信頼できないテキストをHTMLに挿入する前に特殊文字をエスケープすることはXSS対策の要であり、本ツールは正しくエスケープされた出力を生成します。実運用では保存済みデータを事前エンコードするのではなく、表示時に自分のコード側でエスケープすることを推奨します。