HTMLエスケープとは？

HTMLで特別な意味を持つ文字（、&、"、'）を、安全に表示するための実体参照（<、>、&など）に変換する処理です。

Cross-Site Scriptingの略。悪意のあるスクリプトをWebページに注入する攻撃。ユーザー入力をそのままHTMLに埋め込むと発生するため、エスケープが必須です。

エスケープが必要な文字は？

、&、"、'の5つ。<、>、&、"、'（または'）に変換します。属性値内では"と'が特に重要です。

HTMLエスケープとURLエンコードの違いは？

HTMLエスケープは<を<に変換（表示用）。URLエンコードはスペースを%20に変換（URL用）。用途が異なり、両方必要な場合もあります。

HTMLエスケープツールの使い方は？

テキストを入力して「エスケープ」で実体参照に、「アンエスケープ」で元に戻します。XSS対策に。

ユーザー入力を安全に表示するには？

このツールでエスケープしてからHTMLに埋め込む。<script>などがそのまま表示され、実行されません。

HTMLエスケープはデータを送信する？

いいえ。すべてブラウザ内で完結。入力内容はサーバーに送信されません。

JSON内のHTMLをエスケープするには？

HTML文字を含むJSONの値をこのツールでエスケープ。安全に表示できます。

テンプレートエンジンの出力を確認するには？

エスケープ後の文字列をこのツールで確認。正しく変換されているか検証できます。

ツール一覧

ツール一覧へ →

HTML エスケープ/アンエスケープ

HTMLタグとして解釈される特殊文字を安全にエスケープ（または復元）。XSS脆弱性の対策や検証に。

入力したデータはサーバーに送りません。すべてブラウザ内で処理するので、APIキーや機密情報も安心して使えます。

▶このツールについて

HTMLで特別な意味を持つ文字（< > & " '）を、安全な実体参照（<など）にエスケープ・アンエスケープするツールです。テキスト表示時のXSS対策や、テンプレートに埋め込む検証作業に便利です。

「ユーザー登録フォームの入力内容をそのまま表示したら、HTMLタグとして解釈されて画面が崩れた！」──Web開発におけるXSS（クロスサイトスクリプティング）対策として、特殊文字のエスケープは基本中の基本です。このツールでは、対象となる文字列をコピペするだけで、表示用の安全な文字に一瞬で変換できます。逆にエスケープ済みの文字列を、元の読めるテキストに戻す「アンエスケープ」もワンクリックで可能です。

入力

出力

使い方

テキストを入力欄に入力します
「エスケープ」をクリックで実体参照に変換、「アンエスケープ」で元に戻します
XSS対策に。ユーザー入力を安全にHTMLに表示する際に活用できます

いつ使うか

ユーザー入力をHTMLに表示する際のXSS対策、JSON内のHTML文字のエスケープ、テンプレートエンジンの出力確認に。

ツール一覧

ツール操作

使い方

いつ使うか

使用例