HTMLエスケープ

HTML エスケープは、< > & " ' などの HTML 特殊文字を < > & などの実体参照 (Character Reference) に変換する処理です。XSS (Cross-Site Scripting) 攻撃の防止や、HTML ソースコードを記事本文に表示する用途に使用されます。

< → <、> → >、& → &、" → "、' → ' の 5 種類が一般的な HTML エスケープ対象です。

はい、「アンエスケープ」ボタンで実体参照を元の文字に戻せます。Web ページソースから取得した HTML を読み解く際や、ログに含まれるエスケープ済データを確認する場面で便利です。

ユーザー入力を HTML として表示する全ての場面で必須です。コメント欄の表示・検索クエリのハイライト・URL クエリパラメータの埋め込みなど。テンプレートエンジンは通常自動エスケープしますが、属性値内 (href / onclick) や <script> ブロック内では別ルールが必要なため、本ツールで動作確認すると安心です。

本文 (要素内テキスト) は大抵自動エスケープされますが、属性値内 (特に href / src / onclick)、<script> ブロック内、CSS の url() 内はエスケープ規則が異なります。出力箇所のコンテキストに応じてエスケープ関数を選ぶ習慣をつけることが XSS 対策の基本。詳細は OWASP XSS Prevention Cheat Sheet を参照。

いいえ、本ツールは 5 種類の特殊文字のみエスケープします。日本語・絵文字・記号 (©、® 等) は UTF-8 でそのまま扱えるため変換不要です。© のような名前付き実体参照は読み手のレガシーブラウザ互換性が必要な場合のみ手動で書き換えます。

本ツールは ' のみ数値参照 (') を使い、他は名前付き参照 (< > & ") を使います。HTML5 では両方有効ですが、apos はレガシーブラウザで互換性問題があるため ' が安全。コード内では好みで統一してください。

アンエスケープ → ブラウザでレンダリング、の流れで動作確認できます。ただし攻撃用ペイロード (例: <script>alert(1)</script>) を別環境で実行することは、自分のテスト環境内に限定してください。本番サイトへの注入は犯罪 (不正アクセス禁止法) になります。