` devient `<script>alert(1)</script>`, texte inoffensif. **Mais le contexte compte**. Dans une string JavaScript, une valeur d'attribut HTML, une URL, une expression CSS, chacune a besoin de son propre encodage. Les frameworks modernes (React, Vue, Svelte) gèrent ça automatiquement quand vous utilisez la syntaxe JSX ou template. **L'encodage manuel n'est sûr** que pour le contenu que vous mettez directement dans des nœuds texte HTML. Pour quoi que ce soit de plus complexe, utilisez une bibliothèque comme DOMPurify."}},{"@type":"Question","name":"Quand utiliser une entité nommée comme © versus un nombre comme © ?","acceptedAnswer":{"@type":"Answer","text":"**Utilisez des entités nommées quand vous voulez que des humains lisent la source.** `©` est évident, `©` est une énigme. Les entités nommées vieillissent aussi mieux : `€` est plus lisible que `€` dans un fichier CSS que vous revisitez dans cinq ans. **Utilisez des entités numériques quand** : le système cible ne parse pas les entités nommées (certains moteurs de templating d'email, parsers XML custom, très vieux environnements), vous n'êtes pas sûr quelle forme nommée est canonique (`'` versus `'`), ou votre fichier doit être **strictement ASCII uniquement** (certains vieux pipelines de build). Pour du HTML moderne dans des navigateurs modernes, les deux formes marchent à l'identique."}},{"@type":"Question","name":"Pourquoi l'outil encode-t-il l'apostrophe en ' au lieu de ' ?","acceptedAnswer":{"@type":"Answer","text":"**Compatibilité.** `'` fait officiellement partie de HTML5 et marche dans tous les navigateurs modernes, mais il n'était **pas dans HTML4** et Internet Explorer jusqu'à la version 8 ne le reconnaît pas (ces navigateurs rendent le texte littéral \"'\"). **\\'** est la référence numérique pour le même caractère et marche dans **chaque navigateur jamais fait**, jusqu'à Netscape 1.0. La différence compte pour les emails (où des moteurs de rendu antiques apparaissent encore), les apps intranet legacy, et tout HTML que vous ne pouvez pas contrôler entièrement. Coût du choix plus sûr : deux caractères supplémentaires par apostrophe."}},{"@type":"Question","name":"Mon texte a des entités imbriquées comme < et elles n'ont décodé qu'une fois. Pourquoi ?","acceptedAnswer":{"@type":"Answer","text":"Parce que **c'est le bon comportement.** `<` est la forme encodée du texte littéral `<`. Décoder une fois donne `<`, qui est la bonne réponse : quelqu'un voulait afficher le texte `<` littéralement sur une page et l'a encodé correctement. **Décoder deux fois** donnerait `<`, ce qui effacerait l'intention de l'auteur original. **Si vous voulez décoder entièrement un encodage imbriqué** (rare, généralement un bug quelque part en amont), repassez la sortie dans le décodeur manuellement. L'outil délibérément ne boucle pas automatiquement, sinon il pourrait casser du contenu correctement encodé."}},{"@type":"Question","name":"Puis-je encoder du JavaScript ou JSON en sécurité avec ça ?","acceptedAnswer":{"@type":"Answer","text":"**Non, et vous ne devriez pas essayer.** Les entités HTML sont pour le contexte HTML uniquement. **Pour les strings JavaScript**, utilisez `JSON.stringify()` ou l'échappement backslash (\\\\u00E9 pour é). **Pour les URLs**, utilisez `encodeURIComponent()` ou notre [encodeur d'URL](/fr/encodeur-url). Pour les payloads binaires ou en-têtes d'auth, utilisez l'[encodeur Base64](/fr/encodeur-base64). **Pour CSS**, utilisez la forme backslash hex (\\\\E9 pour é). **Erreur courante** : mettre du texte encodé HTML dans une string JavaScript littérale : `var x = \"<div>\"` ne contient PAS `

`, il contient la string littérale de huit caractères `<div>`. Contextes différents, encodeurs différents."}},{"@type":"Question","name":"Pourquoi certains caractères comme les emoji ou le texte asiatique sont-ils encodés en paire de nombres ?","acceptedAnswer":{"@type":"Answer","text":"Parce que **les emoji et beaucoup de caractères asiatiques vivent au-dessus du plan Unicode basique**, ils utilisent deux **unités de code UTF-16** en interne en JavaScript. Quand l'outil les encode comme références numériques, il émet correctement le **codepoint** complet (un nombre, pas deux). **Exemple** : 🎉 encode comme `🎉` (un seul codepoint), pas deux références séparées. **Le décodage** inverse ça parfaitement. Si vous voyez des séquences bizarres de deux nombres dans votre entrée, ça signifie que celui qui a encodé avant n'a PAS géré les paires de substitution correctement, passez l'entrée dans Decode et l'outil la réparera."}},{"@type":"Question","name":"Ça marche hors ligne ? Mon texte est-il uploadé quelque part ?","acceptedAnswer":{"@type":"Answer","text":"**Tout tourne dans votre navigateur.** Pas d'appels serveur, pas d'analytics sur l'entrée, pas d'upload. Vous pouvez ouvrir l'onglet **Network** dans DevTools et confirmer : zéro requête quand vous tapez. Sûr pour **le contenu sensible** : docs légaux, templates internes, données clients. **Marche hors ligne** aussi : une fois la page chargée, la logique d'encodage est entièrement JavaScript côté client, vous pouvez débrancher le Wi-Fi et continuer à travailler. **La table de référence d'entités** (top 30 entités nommées) est intégrée directement dans le bundle de la page."}},{"@type":"Question","name":"Pourquoi mon espace insécable ( ) décode-t-il en espace normal ?","acceptedAnswer":{"@type":"Answer","text":"**Ce n'est pas le cas, il décode en espace insécable.** Ils ont l'air identiques mais ce sont des caractères différents : l'espace normal est **U+0020**, l'espace insécable est **U+00A0**. Copiez la sortie décodée et collez-la dans un inspecteur Unicode et vous verrez U+00A0. **Les navigateurs les rendent de la même manière**, c'est pour ça que ça ressemble à un espace normal. **Important** : les espaces insécables dans la source HTML peuvent casser les calculs de layout, la regex `\\s` les matche mais `\" \"` (espace littéral) non. Si vous voulez **les convertir en vrais espaces** après décodage, passez la sortie par notre outil rechercher-et-remplacer."}},{"@type":"Question","name":"Quelle est la différence entre A et A ?","acceptedAnswer":{"@type":"Answer","text":"**Même caractère, bases de nombres différentes.** `A` est la référence numérique **décimale** pour le codepoint 65 (la lettre A). `A` est la forme **hexadécimale** du même nombre (0x41 = 65 en décimal). Les deux décodent en 'A'. **Pourquoi les deux existent** : hex est plus compact pour les codepoints élevés (`🎉` versus `🎉` pour 🎉), et correspond à comment les codepoints Unicode sont généralement écrits dans la documentation (U+1F389). Décimal est plus ancien et plus lisible pour la plage ASCII. **Les navigateurs acceptent l'un ou l'autre**, le décodage est identique. **Pour l'encodage** : cet outil émet du décimal par défaut, c'est la convention la plus courante dans le HTML du monde réel."}}]}

Encodeur entités HTML

Encode et décode les entités HTML - &, <, >, accents.

LiveFonctionne dans ton navigateur

Encode seulement les 5 caractères significatifs en HTML : & < > " '. Les accents restent tels quels.

Input

Output

&#39;&lt;script&gt;&#39;alert(&quot;xss&quot;)&#39;&lt;/script&gt;&#39;
Price: 5 € (10% off), Café Joe&#39;s

Entités nommées les plus utiliséesCliquez sur une ligne pour la copier.

Que sont les entités HTML et quand en ai-je besoin ?

Certains caractères ont une signification spéciale pour un navigateur. Tapez un signe inférieur à littéral dans votre CMS et le navigateur pense qu'une balise commence. Collez une esperluette dans une URL et un autre paramètre prend le dessus. Le correctif : les entités HTML, des codes courts comme `&lt;` ou `&amp;` qui montrent le vrai caractère sans embrouiller le parser.

Cet outil retourne le texte dans les deux directions : texte brut en entités (Encode) et entités en texte brut (Decode). Trois modes d'encodage : Strict ne gère que les cinq caractères qui changent le sens du HTML, Named utilise des noms conviviaux comme `&copy;` pour ©, Numeric all transforme chaque caractère non-ASCII en nombre (`&#233;` pour é). Decode gère les trois formats et la table complète d'entités nommées.

Tout s'exécute dans votre navigateur : rien ne quitte la page, pas d'inscription, pas de quota. Épinglée en bas : une table de référence des 30 entités nommées les plus utilisées, cliquez sur n'importe quelle ligne pour la copier.

Comment l'utiliser

Choisissez une direction : Encode (texte vers entités) ou Decode (entités vers texte). Barre d'interrupteur en haut de la page.
Si vous avez choisi Encode, choisissez un mode : Strict (seulement les cinq caractères qui cassent le HTML), Named (utilisez `©`, `€` et amis), Numeric all (chaque caractère non-ASCII comme `&#NNN;`).
Collez votre texte à gauche. Le résultat apparaît à droite instantanément : pas de bouton Run, pas de délai.
Cliquez sur Copy pour récupérer la sortie. Ou Swap pour repasser le résultat dans la direction opposée (utile pour des tests aller-retour).
Besoin d'une entité spécifique ? Ouvrez la table de référence en bas (les 30 meilleures entités nommées), cliquez sur n'importe quelle ligne pour copier ce token d'entité exact.
Le décodage gère tout : entités nommées (`&copy;`), numériques décimales (`&#65;`), hex numériques (`&#x41;`). L'entrée mixte marche aussi.

Quand c'est utile

Six situations où cet outil vous évite une page cassée ou une faille de sécurité :

Afficher des exemples de code sur un blog. Vous voulez afficher `<div class="foo">` comme texte littéral dans un tuto. Sans encodage, le navigateur mange la balise et vous obtenez une boîte vide. Encode en mode Strict transforme les chevrons en `<` et `>` pour que le markup apparaisse comme texte.
Coller du contenu de Word ou Google Docs dans un CMS. Le doc a des guillemets typographiques (`“ ”`), des tirets cadratins (`-`), des espaces insécables. Certains CMS s'étranglent là-dessus. Encode en mode Named les remplace par des entités lisibles comme `“` et `—` que tout système gère.
Stopper une tentative XSS basique. Un utilisateur soumet `<script>alert("xss")</script>` à votre formulaire de commentaires. Affichez-le brut et le script tourne dans le navigateur de chaque visiteur. Encode en mode Strict le transforme en texte inoffensif. Une vraie défense demande plus que ça, mais encoder la sortie est l'étape un.
Nettoyer de vieux emails HTML ou des pages scrapées. Vous copiez du texte d'une vieille newsletter et c'est plein d'artefacts `&eacute;` et `&#8230;`. Decode les retransforme en propres é et …, prêts à coller dans un document frais.
Envoyer du contenu email via des systèmes legacy. Certains anciens serveurs mail et moteurs de templating dégagent les caractères non-ASCII. Encode en mode Numeric all transforme é en `&#233;`, qui survit au voyage et rend correctement dans n'importe quel client mail.
Construire un attribut srcdoc d'iframe. Le HTML à l'intérieur de `srcdoc="..."` a besoin de ses guillemets échappés ou tout casse. Encode en mode Strict est exactement ce qu'il faut : il touche seulement les caractères dont le parser se soucie, laisse le reste lisible.

Questions et réponses

Strict échappe seulement les cinq caractères qui ont une signification spéciale en HTML : \< \> & " '. Tout le reste passe inchangé. Utilisez ça pour la plupart du HTML quotidien, échantillons de code, formulaires de commentaires, contenu de blog. Named fait les mêmes cinq plus remplace les caractères non-ASCII par des entités nommées conviviales où l'une existe : © devient `©`, € devient `€`. Fallback en numérique pour les caractères sans forme nommée. Utilisez ça quand vous voulez des entités lisibles par l'humain. Numeric all échappe les cinq spéciaux ET chaque caractère non-ASCII en nombre décimal : © devient `©`, € devient `€`. Utilisez ça pour la compatibilité maximale avec les systèmes legacy qui ne font pas confiance aux entités nommées.

Tu pourrais aussi aimer

Encodeur entités HTML

Que sont les entités HTML et quand en ai-je besoin ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Rechercher-remplacer

Convertisseur de casse

Générateur de slug

Encodeur URL

Encodeur Base64