` wird zu `<script>alert(1)</script>`. **Aber Kontext zaehlt**: JavaScript-Strings, HTML-Attribute, URLs, CSS brauchen jeweils eigenes Encoding. Moderne Frameworks (React, Vue, Svelte) handhaben das automatisch. Fuer komplexere Faelle nimm DOMPurify."}},{"@type":"Question","name":"Wann nutze ich Named Entities wie © statt Zahlen wie ©?","acceptedAnswer":{"@type":"Answer","text":"**Named, wenn Menschen den Quelltext lesen.** `©` ist offensichtlich, `©` ist ein Raetsel. **Numeric, wenn**: das Zielsystem keine Named Entities parst (manche Mail-Engines, alte Umgebungen), oder die Datei **strikt ASCII** sein muss. Fuer modernes HTML in modernen Browsern funktioniert beides identisch."}},{"@type":"Question","name":"Warum kodiert das Tool den Apostroph als ' statt '?","acceptedAnswer":{"@type":"Answer","text":"**Kompatibilitaet.** `'` ist HTML5, aber **nicht in HTML4** und IE bis 8 kennt es nicht. **\\'** funktioniert in **jedem Browser, der je gebaut wurde**. Wichtig fuer Mails (alte Rendering-Engines), Legacy-Intranets und alles HTML, das du nicht voll kontrollierst."}},{"@type":"Question","name":"Mein Text hat verschachtelte Entities wie < und sie wurden nur einmal dekodiert. Warum?","acceptedAnswer":{"@type":"Answer","text":"Weil **das korrekt ist.** `<` ist die kodierte Form des Literaltexts `<`. Einmal dekodiert ergibt `<`, was die richtige Antwort ist: jemand wollte den Text `<` wortwoertlich zeigen. Zweimal dekodieren wuerde die Absicht zerstoeren. **Wenn du verschachtelte Kodierung voll dekodieren willst**, schick die Ausgabe manuell nochmal durch."}},{"@type":"Question","name":"Kann ich JavaScript oder JSON damit sicher kodieren?","acceptedAnswer":{"@type":"Answer","text":"**Nein.** HTML-Entities sind nur fuer HTML-Kontext. **JavaScript-Strings**: `JSON.stringify()` oder Backslash-Escaping. **URLs**: `encodeURIComponent()` oder unser [URL-Encoder](/de/url-encoder). **Binaer**: [Base64-Encoder](/de/base64-encoder). **CSS**: Hex-Backslash-Form. **Haeufiger Fehler**: HTML-kodierten Text in JS-String packen: `var x = \"<div>\"` enthaelt NICHT `

`."}},{"@type":"Question","name":"Warum werden Emojis oder asiatische Zeichen manchmal als Zahlenpaar kodiert?","acceptedAnswer":{"@type":"Answer","text":"Emojis und viele asiatische Zeichen leben oberhalb der Basis-Unicode-Ebene, nutzen intern zwei **UTF-16-Code-Units**. Das Tool gibt korrekt den vollen **Codepoint** aus (eine Zahl): 🎉 wird zu `🎉`, nicht zwei Referenzen. Wenn dein Input komische Doppel-Zahlen-Sequenzen zeigt, hat ein vorheriger Encoder die Surrogate-Pairs vergeigt, Decode repariert das."}},{"@type":"Question","name":"Funktioniert das offline? Wird mein Text irgendwohin hochgeladen?","acceptedAnswer":{"@type":"Answer","text":"**Alles laeuft im Browser.** Keine Server-Calls, kein Upload. Schau in den Network-Tab: null Requests beim Tippen. Sicher fuer **Rechtsdokumente, interne Templates, Kundendaten**. **Funktioniert offline**: einmal geladen ist die Encoding-Logik komplett Client-side."}},{"@type":"Question","name":"Warum dekodiert zu einem \"normalen\" Leerzeichen?","acceptedAnswer":{"@type":"Answer","text":"**Tut es nicht, es dekodiert zu einem geschuetzten Leerzeichen.** Sie sehen gleich aus, sind aber verschiedene Zeichen: normales Space ist **U+0020**, non-breaking space ist **U+00A0**. Kopier die Ausgabe in einen Unicode-Inspektor und du siehst U+00A0. Browser rendern sie gleich, deshalb sieht es so aus."}},{"@type":"Question","name":"Was ist der Unterschied zwischen A und A?","acceptedAnswer":{"@type":"Answer","text":"**Gleiches Zeichen, andere Zahlenbasis.** `A` ist **dezimal**, `A` ist **hex**. Beide dekodieren zu 'A'. Hex ist kompakter fuer hohe Codepoints (`🎉` vs `🎉`) und passt zur Unicode-Doku (U+1F389). Browser akzeptieren beides. Das Tool gibt per Default Dezimal aus."}}]}

HTML-Entitäten Encoder

<, >, & und Sonderzeichen in HTML-Entitäten codieren. In beide Richtungen.

LiveLäuft im Browser

Kodiert nur die 5 HTML-signifikanten Zeichen: & < > " '. Akzentzeichen bleiben unverändert.

Eingabe

Ausgabe

&#39;&lt;script&gt;&#39;alert(&quot;xss&quot;)&#39;&lt;/script&gt;&#39;
Preis: 5 € (10% Rabatt), Café Joe&#39;s

Häufigste benannte EntitiesKlicke eine Zeile, um sie zu kopieren.

Was sind HTML-Entities und wann brauche ich sie?

Manche Zeichen haben fuer den Browser eine besondere Bedeutung. Tippst du im CMS ein Kleiner-als-Zeichen, denkt der Browser, ein Tag faengt an. Paste ein & in eine URL und ploetzlich uebernimmt ein anderer Parameter. Loesung: HTML-Entities, kurze Codes wie `&lt;` oder `&amp;`, die das echte Zeichen zeigen, ohne den Parser zu verwirren.

Das Tool wandelt Text in beide Richtungen: Klartext zu Entities (Encode) und Entities zurueck zu Klartext (Decode). Drei Encode-Modi: Strict kuemmert sich nur um die fuenf Zeichen, die HTML zerlegen, Named nutzt freundliche Namen wie `&copy;`, Numeric all wandelt jedes Nicht-ASCII-Zeichen in eine Nummer. Decode versteht alle drei Formate.

Alles laeuft im Browser: nichts verlaesst die Seite, kein Login. Unten angeheftet: eine Referenztabelle der 30 meistgenutzten Named Entities, Klick kopiert.

So nutzt du das Tool

Waehl eine Richtung: Encode (Text zu Entities) oder Decode (Entities zurueck).
Im Encode-Modus waehl: Strict (nur die fuenf HTML-Brecher), Named (mit `©`, `€`) oder Numeric all (jedes Nicht-ASCII als `&#NNN;`).
Paste Text links, Ergebnis erscheint rechts sofort.
Kopieren holt die Ausgabe. Swap schickt das Ergebnis durch die Gegenrichtung (Round-Trip-Tests).
Spezifische Entity gesucht? Oeffne die Referenztabelle unten, Klick auf eine Zeile kopiert das Token.

Wann das nuetzlich ist

Sechs Situationen, in denen das Tool dich vor kaputten Seiten oder Sicherheitsluecken rettet:

Code-Beispiele im Blog zeigen. Du willst `<div class="foo">` als Text in einem Tutorial darstellen. Ohne Kodierung frisst der Browser das Tag. Strict-Modus macht aus den Klammern `<` und `>`.
Word/Google-Docs-Inhalt ins CMS uebertragen. Das Dokument hat typografische Anfuehrungszeichen, Geviertstriche, geschuetzte Leerzeichen. Manche CMS stolpern. Named-Modus tauscht sie gegen lesbare Entities wie `“` und `—`.
Simplen XSS-Versuch stoppen. Ein User schickt `<script>alert("xss")</script>` ins Kommentarformular. Roh angezeigt laeuft das Script. Strict-Modus macht harmlosen Text daraus. Echte Abwehr braucht mehr, aber Output-Encoding ist Schritt eins.
Alte HTML-Mails oder gescrapte Seiten aufraeumen. Text voller `&eacute;` und `&#8230;`-Artefakte. Decode macht daraus wieder normales e und ....
Mail-Content durch Legacy-Systeme schicken. Manche alten Mailserver strippen Nicht-ASCII-Zeichen. Numeric all macht aus e ein `&#233;`, ueberlebt die Reise.
iframe srcdoc-Attribut bauen. Das HTML in `srcdoc="..."` braucht escapte Anfuehrungszeichen, sonst bricht alles. Strict-Modus trifft genau die Zeichen, die der Parser braucht.

Fragen und Antworten

Strict escaped nur die fuenf Zeichen mit besonderer Bedeutung in HTML: \< \> & " '. Alles andere geht unveraendert durch. Fuer alltaegliches HTML. Named macht die gleichen fuenf plus tauscht Nicht-ASCII gegen Named Entities, wo es welche gibt: (c) zu `©`, EUR zu `€`. Numeric all escaped die fuenf Specials UND jedes Nicht-ASCII als Dezimalzahl. Fuer maximale Kompatibilitaet mit Legacy-Systemen.

Das könnte auch passen

HTML-Entitäten Encoder

Was sind HTML-Entities und wann brauche ich sie?

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

Suchen und Ersetzen

Schreibweise-Konverter

Slug-Generator

URL Encoder und Decoder

Base64 Encoder