CiphersOnline
Chiffrement en ligne
Encodage
HTML Encode

HTML Encode / Decode

Convertissez les caractères spéciaux HTML en entités et décodez du HTML échappé pour retrouver un texte lisible. Encodez &, <, >, " et ' pour une sortie HTML sûre dans les modèles, commentaires et contenus générés par les utilisateurs ; décodez les entités HTML nommées, décimales et hexadécimales en caractères Unicode.

Entrée
0 caract. · 0 octets
Essayer :
Résultat
✓ Encode les caractères spéciaux HTML en entités ✓ Compatible avec les entités HTML nommées et numériques ✓ Traitement local dans le navigateur
Exemples
Balises HTML
Entrée <h1>Bonjour & "monde"</h1>
Sortie &lt;h1&gt;Bonjour &amp; &quot;monde&quot;&lt;/h1&gt;

Les caractères <, >, " et & sont encodés sous forme d'entités HTML.

Prévention XSS
Entrée <script>alert('xss')</script>
Sortie &lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

Encoder les balises script rend le code d'injection inoffensif lorsqu'il est affiché comme texte en HTML.

Décoder des entités
Entrée &lt;p&gt;Caf&eacute; &amp; na&iuml;f &copy; 2026&lt;/p&gt;
Sortie <p>Café & naïf © 2026</p>

Les entités nommées comme &eacute;, &iuml; et &copy; sont reconverties en caractères Unicode.

Texte avec attribut HTML
Entrée <a href="/search?q=thé&sort=asc">Le "meilleur" thé</a>
Sortie &lt;a href=&quot;/search?q=thé&amp;sort=asc&quot;&gt;Le &quot;meilleur&quot; thé&lt;/a&gt;

Les chevrons, esperluettes et guillemets sont échappés afin que le fragment puisse être affiché comme du texte.

Qu'est-ce que l'encodage HTML ?

L'encodage HTML convertit les caractères spéciaux en entités HTML afin que le navigateur les affiche comme du texte au lieu de les interpréter comme du balisage. Par exemple, le signe inférieur à < devient &lt;, et l'esperluette & devient &amp;.

C'est essentiel lorsque vous insérez dans une page HTML du texte fourni par des utilisateurs, des extraits de code, des noms de produits, des commentaires, du contenu CMS ou des chaînes traduites. Échapper les bons caractères aide à prévenir les failles Cross-Site Scripting (XSS) et évite les mises en page cassées par des balises ou attributs accidentels.

Encoder et décoder les entités HTML

L'encodage remplace les cinq caractères spéciaux HTML par leurs entités équivalentes : &&amp;, <&lt;, >&gt;, "&quot; et '&#39;.

Le décodage est l'opération inverse : il convertit les entités HTML — nommées, comme &eacute;, décimales comme &#233; ou hexadécimales comme &#xE9; — en caractères Unicode. C'est utile pour lire du code HTML échappé, nettoyer des extraits copiés, vérifier une sortie CMS ou déboguer des réponses d'API contenant du texte encodé sous forme d'entités.

Quand utiliser ce convertisseur d'entités HTML

Utilisez l'encodeur lorsque le texte doit apparaître dans un document HTML exactement comme il a été écrit : exemples de documentation, fragments de code visibles, avis clients, titres d'articles, aperçus de formulaires ou tout champ pouvant contenir des chevrons, esperluettes ou guillemets.

Utilisez le décodeur lorsque vous devez rendre lisible un contenu échappé, comme &lt;div&gt;, &copy;, &#169; ou &#x1F600;. L'outil est pratique pour le développement web, la QA, les audits SEO, la migration de contenu, les modèles d'e-mail et les tickets de support où le balisage encodé est difficile à inspecter à l'œil nu.

L'encodage HTML dépend du contexte

L'encodage HTML n'est pas du chiffrement et ne masque pas les données. C'est une technique d'échappement de sortie pour le contexte HTML. Elle aide le navigateur à traiter les caractères spéciaux comme du texte, mais dans une application de production elle doit être combinée avec la validation, la sanitisation et l'échappement fourni par le framework.

Chaque contexte nécessite ses propres règles d'échappement. Le texte dans HTML, les valeurs dans les URL, les chaînes JavaScript, le CSS et les requêtes SQL ne sont pas interchangeables. Pour une sortie HTML, encodez les caractères spéciaux HTML ; pour les liens et les query strings, utilisez l'encodage URL.

FAQ

Une entrée utilisateur non encodée insérée directement dans du HTML peut être interprétée comme du balisage ou du script, ce qui permet à un attaquant d'injecter du code malveillant. Cette faille s'appelle Cross-Site Scripting (XSS). L'encodage HTML neutralise les caractères spéciaux afin que le navigateur les traite comme du texte brut.

Les cinq caractères à toujours encoder sont : & (esperluette) → &amp;amp;, < (inférieur à) → &amp;lt;, > (supérieur à) → &amp;gt;, " (guillemet double) → &amp;quot; et ' (apostrophe) → &amp;#39;. D'autres caractères, comme les lettres accentuées, sont généralement sûrs, mais peuvent aussi apparaître sous forme d'entités nommées ou numériques pour des raisons de compatibilité.

L'encodage HTML échappe les caractères qui ont une signification spéciale dans le balisage HTML : &, <, >, " et '. L'encodage URL, ou percent-encoding, échappe les caractères interdits ou réservés dans les URL, comme les espaces (%20). Utilisez l'encodage HTML pour afficher du texte dans un document HTML et l'encodage URL pour construire des query strings ou des segments de chemin.

Oui. Lorsque vous recevez du code HTML contenant des entités échappées, par exemple depuis une réponse d'API ou un champ de base de données, vous pouvez le coller dans le décodeur pour voir les caractères d'origine. Le décodeur gère les entités nommées (&amp;eacute;), décimales (&amp;#233;) et hexadécimales (&amp;#xE9;).

Non. L'encodage HTML est une transformation réversible du texte pour l'afficher en sécurité dans du HTML. Toute personne peut décoder les entités et retrouver les caractères d'origine ; il ne faut donc pas l'utiliser pour protéger des secrets, mots de passe, jetons ou données privées.

L'encodeur se concentre sur les caractères spéciaux HTML qui cassent le plus souvent le balisage ou créent des risques de sécurité : &, <, >, guillemets doubles et apostrophes. Les lettres accentuées, emoji et autres caractères Unicode restent en texte lisible. Le décodeur peut toutefois convertir les entités nommées et numériques en caractères Unicode.

Décodez les entités HTML lorsque vous devez inspecter ou traiter un texte qui a déjà été échappé, comme des exports CMS, modèles d'e-mail, réponses d'API, valeurs de base de données ou du code HTML copié. N'insérez pas du contenu non fiable décodé comme HTML brut dans une page, sauf s'il a aussi été sanitisé.

Non. L'outil HTML Encode / Decode fonctionne dans votre navigateur. Votre texte est transformé localement, ce qui convient aux vérifications rapides de snippets, modèles et contenus de développement.
Outils associés

Convertisseur ASCII

Convertissez des caractères ASCII et des codes numériques pour les workflows de protocoles et de parseurs.

Décodeur JWT en ligne

Décodez les JWT dans le navigateur et inspectez le header, le payload, les claims et les données d'expiration.

Tous les outils Encodage et conversion de données →