Question 1

どの文字がエンコードされますか?

Accepted Answer

デフォルトで HTML 上重要な 5 文字: &、<、>、二重引用符、一重引用符です。「すべての非 ASCII」を有効にすると、ASCII 限定のコンテキスト用に Unicode を数値エンティティとしてエスケープします。

Question 2

HTML エンコーディングはいつ行うべきですか?

Accepted Answer

ユーザーが提供したテキストを HTML ドキュメントや属性に埋め込むときは常に行います。エンコーディングはテキストがマークアップとして解析されるのを防ぎ、XSS やレンダリングのバグをブロックします。

Question 3

入力はどこかに送信されますか?

Accepted Answer

いいえ。エンコードもデコードもブラウザ内でローカルに行われます。

文字	エンティティ	数値参照
&	&	&
<	<	<
>	>	>
"	"	"
'	'	'
/	/	/
©	©	©
®	®	®
€	€	€

Mode	Input	適用
エンコード	<script>alert("XSS")</script>
エンコード	<h1>Hello & "World"</h1>
エンコード	<a href="https://example.com?a=1&b=2">Link</a>
デコード	<p>Hello & "World"</p>
デコード	<script>alert('xss')</script>

HTMLエンコーダー

よく使うHTMLエンティティ