XML和HTML中必须转义的5个字符是<、>、&、"、',分别对应、&、"、',其中&和<在XML中强制转义,HTML中'兼容性有限,Unicode字符无需转义。
XML 和 HTML 中的特殊字符(如 <、>、&、"、')必须转义,否则会导致解析错误或安全风险。在线工具能快速完成转换,但理解原理和注意事项更重要。
哪些字符必须转义
在 XML 和 HTML 中,以下 5 个字符有预定义实体,需显式转义:
-
<→(小于号,避免被误认为标签起始) -
>→>(大于号,虽非强制但建议统一处理) -
&→&(最关键:所有实体都以 & 开头,不转义会破坏解析) -
"→"(用于属性值中双引号包裹的场景) -
'→'(单引号,在 XML 中有效,HTML4 不支持,HTML5 支持但常被'替代)
XML 与 HTML 转义的细微差别
虽然共用大部分实体,但实际使用时要注意:
- XML 严格要求
&和<必须转义;>在多数情况下可不转,但嵌套]]>时需谨慎 - HTML 中
'兼容性有限,服务端生成 HTML 时更倾向用数值字符引用' - 中文、emoji 等 Unicode 字符无需转义(UTF-8 编码下直接写即可),除非要兼容极老系统
- 不要对已转义的内容重复转义,例如把
再变成 <code>,这会造成显示异常
推荐的在线工具及使用提示
可靠工具应支持双向转换(转义 / 还原)、实时预览,并明确区分 XML 与 HTML 模式:
立即学习“前端免费学习笔记(深入)”;
- FreeFormatter.com:提供 XML/HTML/JSON 多格式转义,界面简洁,支持粘贴+一键转换
- Browserling’s HTML Encoder:专注 HTML,可选是否编码空格、换行等,适合前端调试
- XMLGrid.net 的 XML Escaper:专为 XML 设计,自动识别 CDATA 区段并跳过转义
使用时注意:关闭浏览器翻译功能,避免工具页面被误译影响操作;敏感数据勿粘贴至不可信站点。
开发中更稳妥的做法
依赖在线工具适合临时处理,生产环境建议用语言内置方法:
- JavaScript:
DOMPurify.sanitize()或正则 +replace()(仅限简单场景) - Python:
html.escape()(HTML)、xml.sax.saxutils.escape()(XML) - Java:
StringEscapeUtils.escapeXml11()(Apache Commons Text) - PHP:
htmlspecialchars()(HTML)、htmlspecialchars($str, ENT_XML1)(XML 1.1)
框架通常自带输出转义(如 React JSX、Vue v-html 需手动处理),优先使用框架机制而非手写转义逻辑。
