HTML-Entity Encoder & Decoder 2026

So funktioniert der Encoder

Der HTML-Entity-Encoder ersetzt Zeichen, die in HTML eine syntaktische Bedeutung haben (wie <, > und &), durch ihre kodierten Pendants. Diese werden vom Browser beim Anzeigen wieder in das ursprüngliche Zeichen aufgelöst, ohne dass der Parser sie als Markup interpretiert.

Im Decoder-Modus läuft der Vorgang umgekehrt: Wir nutzen die native Browser-Funktion, um sowohl benannte Entities (ä) als auch numerische (ä oder hex ä) korrekt zurückzuverwandeln.

Format und Standard

HTML-Entities sind im W3C HTML Living Standard definiert. Sie beginnen mit & und enden mit Semikolon. Es gibt drei Formen: benannte Referenzen wie ©, dezimale numerische wie © und hexadezimale wie ©. Numerische Entities können jedes Unicode-Zeichen abbilden, benannte nur eine festgelegte Liste.

Anwendung im Alltag

Typische Einsätze sind: Code-Beispiele in Blogartikeln (HTML-Tags sollen sichtbar sein, nicht ausgeführt werden), E-Mail-Templates mit Sonderzeichen, RSS-Feeds, XML-Dokumente und CMS-Felder, in denen Sie Text und Markup gemischt verwenden.

Datenschutz

Das Tool läuft vollständig im Browser. Eingaben verlassen Ihr Gerät nicht. Damit eignet es sich auch für vertrauliche Texte oder Code-Snippets aus internen Systemen.

Typische Fehler

Doppelte Kodierung: &lt; statt < – passiert, wenn man bereits encodierten Text noch einmal durch den Encoder schickt.
Fehlendes Semikolon am Ende der Entity – einige Parser tolerieren das, andere nicht.
Verwechslung mit URL-Encoding (%3C statt <) – beide haben unterschiedliche Anwendungsbereiche.
Verlass auf Encoding als alleinigen XSS-Schutz – im Kontext von Attributen, JavaScript oder URLs braucht es zusätzliche Maßnahmen.

Häufige Fragen

HTML-Entities sind kodierte Darstellungen von Sonderzeichen, die in HTML eine besondere Bedeutung haben oder über die ASCII-Grenze hinausgehen. Statt eines literalen < schreibt man <, statt & das &. So vermeidet man Konflikte mit der HTML-Syntax und stellt korrekt dar, was als Text gemeint ist.

Im Fließtext sind dies <, >, & und in Attributen zusätzlich " und '. Diese fünf Zeichen sind XSS-relevant und sollten in jeder Ausgabe von Benutzereingaben encodiert werden, um Cross-Site-Scripting zu verhindern.

Bei UTF-8 als Zeichensatz (Standard moderner Webseiten) brauchen Umlaute nicht encodiert zu werden. In E-Mail-Headern, Legacy-Systemen oder bei unsicherem Encoding kann eine Entity-Kodierung helfen. Beispiel: ä = ä oder ä.

Benannte Entities wie & sind lesbarer, aber nur für definierte Zeichen verfügbar. Numerische Entities (& oder &) funktionieren für jedes Unicode-Zeichen und sind universell einsetzbar.

Allein das Encodieren von <, >, & schützt nicht vollständig gegen XSS. Im Kontext von Attributen müssen zusätzlich Anführungszeichen kodiert werden, in JavaScript-Strings braucht es JS-Escaping, in URLs URL-Encoding. Die richtige Kodierung hängt vom Ausgabekontext ab.

Nein. Die gesamte Kodierung erfolgt lokal in Ihrem Browser per JavaScript. Es findet keine Datenübertragung statt – das Tool funktioniert auch offline.

Im Standardmodus werden nur die HTML-relevanten Zeichen plus die wichtigsten deutschen Umlaute encodiert. Mit aktivierter Option werden alle Zeichen oberhalb des ASCII-Bereichs (Codepoint > 127) als numerische Entity ausgegeben – nützlich für Systeme, die kein UTF-8 unterstützen.

Ja. Schalten Sie auf 'Decodieren' und fügen Sie HTML-encodierten Text ein. Sowohl benannte (&) als auch numerische (&, &) Entities werden korrekt zurück in Klartext umgewandelt.