CiphersOnline
Cifrado en línea
Codificación
HTML Encode

HTML Encode / Decode

Convierte caracteres especiales de HTML en entidades y decodifica HTML escapado para recuperar texto legible. Codifica &, <, >, " y ' para una salida HTML segura en plantillas, comentarios y contenido generado por usuarios; decodifica entidades HTML con nombre, decimales y hexadecimales de vuelta a caracteres Unicode.

Entrada
0 caract. · 0 bytes
Probar:
Resultado
✓ Codifica caracteres especiales HTML como entidades ✓ Compatible con entidades HTML nombradas y numéricas ✓ Procesamiento local en el navegador
Ejemplos
Etiquetas HTML
Entrada <h1>Hola & "mundo"</h1>
Salida &lt;h1&gt;Hola &amp; &quot;mundo&quot;&lt;/h1&gt;

Los caracteres <, >, " y & se codifican como entidades HTML.

Prevención de XSS
Entrada <script>alert('xss')</script>
Salida &lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

Codificar etiquetas script hace que el código de inyección sea inofensivo cuando se muestra como texto en HTML.

Decodificar entidades
Entrada &lt;p&gt;Caf&eacute; &amp; ni&ntilde;o &copy; 2026&lt;/p&gt;
Salida <p>Café & niño © 2026</p>

Entidades con nombre como &eacute;, &ntilde; y &copy; se convierten de nuevo en caracteres Unicode.

Texto con atributo HTML
Entrada <a href="/search?q=té&sort=asc">El "mejor" té</a>
Salida &lt;a href=&quot;/search?q=té&amp;sort=asc&quot;&gt;El &quot;mejor&quot; té&lt;/a&gt;

Los corchetes angulares, ampersands y comillas se escapan para que el fragmento pueda mostrarse como texto normal.

¿Qué es la codificación HTML?

La codificación HTML convierte caracteres especiales en entidades HTML para que el navegador los muestre como texto en lugar de interpretarlos como marcado. Por ejemplo, el signo menor que < se convierte en &lt;, y el ampersand & se convierte en &amp;.

Esto es esencial al insertar en una página HTML texto proporcionado por usuarios, fragmentos de código, nombres de productos, comentarios, contenido de CMS o cadenas traducidas. Escapar los caracteres adecuados ayuda a prevenir vulnerabilidades de Cross-Site Scripting (XSS) y evita diseños rotos causados por etiquetas o atributos accidentales.

Codificar y decodificar entidades HTML

La codificación reemplaza los cinco caracteres especiales de HTML por sus entidades equivalentes: &&amp;, <&lt;, >&gt;, "&quot; y '&#39;.

La decodificación es el proceso inverso: convierte entidades HTML — con nombre, como &eacute;, decimales como &#233; o hexadecimales como &#xE9; — de vuelta a sus caracteres Unicode. Es útil para leer código HTML escapado, limpiar fragmentos copiados, revisar salidas de CMS o depurar respuestas de API que contienen texto codificado como entidades.

Cuándo usar este conversor de entidades HTML

Usa el codificador cuando el texto deba aparecer dentro de un documento HTML exactamente como fue escrito: ejemplos de documentación, fragmentos de código visibles, reseñas de clientes, títulos de artículos, vistas previas de formularios o cualquier campo que pueda contener corchetes angulares, ampersands o comillas.

Usa el decodificador cuando necesites convertir contenido escapado de vuelta a texto legible, como &lt;div&gt;, &copy;, &#169; o &#x1F600;. La herramienta es práctica para desarrollo web, QA, auditorías SEO, migración de contenido, plantillas de email y tickets de soporte donde el marcado codificado es difícil de inspeccionar a simple vista.

La codificación HTML depende del contexto

La codificación HTML no es cifrado y no oculta datos. Es una técnica de escape de salida para el contexto HTML. Ayuda a que el navegador trate los caracteres especiales como texto, pero en aplicaciones de producción debe combinarse con validación, sanitización y el escape propio del framework utilizado.

Cada contexto necesita reglas de escape distintas. El texto dentro de HTML, los valores dentro de URLs, las cadenas JavaScript, CSS y las consultas SQL no son intercambiables. Para salida HTML, codifica los caracteres especiales de HTML; para enlaces y query strings, usa codificación URL.

FAQ

Una entrada de usuario sin codificar insertada directamente en HTML puede ser interpretada como marcado o script, permitiendo que un atacante inyecte código malicioso. Esta vulnerabilidad se conoce como Cross-Site Scripting (XSS). La codificación HTML neutraliza los caracteres especiales para que el navegador los trate como texto plano.

Los cinco caracteres que siempre deben codificarse son: & (ampersand) → &amp;amp;, < (menor que) → &amp;lt;, > (mayor que) → &amp;gt;, " (comillas dobles) → &amp;quot; y ' (apóstrofo) → &amp;#39;. Otros caracteres, como letras acentuadas, suelen ser seguros, aunque también pueden aparecer como entidades con nombre o numéricas por compatibilidad.

La codificación HTML escapa caracteres que tienen significado especial en el marcado HTML: &, <, >, " y '. La codificación URL, o percent-encoding, escapa caracteres no permitidos o reservados en URLs, como espacios (%20). Usa codificación HTML al mostrar texto dentro de un documento HTML y codificación URL al construir query strings o segmentos de ruta.

Sí. Si recibes código HTML que contiene entidades escapadas, por ejemplo desde una respuesta de API o un campo de base de datos, puedes pegarlo en el decodificador para ver los caracteres originales. El decodificador maneja entidades con nombre (&amp;eacute;), entidades decimales (&amp;#233;) y entidades hexadecimales (&amp;#xE9;).

No. La codificación HTML es una transformación reversible de texto para mostrarlo de forma segura en HTML. Cualquiera puede decodificar las entidades y recuperar los caracteres originales, por lo que no debe usarse para proteger secretos, contraseñas, tokens o datos privados.

El codificador se centra en los caracteres especiales de HTML que suelen romper el marcado o crear riesgos de seguridad: &, <, >, comillas dobles y apóstrofos. Letras acentuadas, emoji y otros caracteres Unicode se conservan como texto legible. El decodificador, aun así, puede convertir entidades con nombre y numéricas de vuelta a caracteres Unicode.

Decodifica entidades HTML cuando necesites inspeccionar o procesar texto que ya fue escapado, como exportaciones de CMS, plantillas de email, respuestas de API, valores de base de datos o código HTML copiado. No decodifiques contenido no confiable para insertarlo después como HTML sin procesar, a menos que también haya sido sanitizado.

No. La herramienta HTML Encode / Decode se ejecuta en tu navegador. El texto se transforma localmente, por lo que es adecuada para comprobaciones rápidas de fragmentos, plantillas y contenido de desarrollo.
Herramientas relacionadas

Convertidor ASCII

Convierte caracteres ASCII y códigos numéricos para flujos de trabajo con protocolos y parsers.

Decodificador JWT online

Decodifica JWT en el navegador e inspecciona header, payload, claims y datos de expiración.

Todas las herramientas de Codificación y conversión de datos →