HTML-/URL-/JS-Strings escapen und unescapen

Warum das wichtig ist

Sie fügen eine Kundenrezension in eine JSON-Config ein, die einen Web-Banner speist. In der Rezension steht ein loses ". Der Bundler baut, der Banner geht live — die Startseite zeigt Uncaught SyntaxError. Der Fix ist klein — das Zeichen escapen — aber welches Escape (HTML-Entity? JSON \"? URL %22?) ist die eigentliche Kompetenz. Dieses Tool bündelt alle Profile — kein Raten und kein Copy-Paste von Regex aus Foren.

Drei echte Szenarien

Frontend-Entwicklerin

Nutzerinhalt sicher in statisches HTML einbetten

<script> zu <script> — Browser zeigt Literaltext statt Ausführung.

Kein XSS, kein Layout-Bruch

Backend-Ingenieur

Query-String mit Sonderzeichen bauen

name=O'Hara zu name=O%27Hara URL-kodieren, bevor es an die URL gehängt wird.

Funktionierender API-Call

Data Engineer

CSV mit eingebetteten Kommas und Quotes laden

Felder quotieren und innere Quotes verdoppeln — CSV-Profil macht beides automatisch.

Sauberer Import

Schritt für Schritt

Öffnen Sie das Text-Escape-Tool.

Roh-Eingabe einfügen
Original links, escaped Ergebnis rechts.
Zielformat wählen
HTML, URL, JavaScript / JSON, CSV oder XML — jeweils eigene Regeln. Passend zum Ziel der Zeichenkette, nicht zur Quelle.
Escape vs. Unescape
Unescape, wenn bereits escaped — z. B. JSON-kodierte Logzeile debuggen.
Sichere Zeichenkette kopieren
In Code, Config oder API-Call.

HTML-Escape schützt vor losen Tags

Raw

<a href="x">Hi & welcome</a>

HTML-escaped

&lt;a href=&quot;x&quot;&gt;Hi &amp; welcome&lt;/a&gt;

JavaScript-Style für JSON-String-Literal

Raw

She said "hi"	on Tuesday — line break
follows.

JS-escaped

She said \"hi\"\ton Tuesday \u2014 line break\nfollows.

Escape mode picker with HTML / URL / JS / CSV / XML options — Moduswechsel formatiert die rechte Seite live neu.

Profi-Tipps

Nur escapen, wenn nötig. Bei textContent eines DOM-Knotens escaped der Browser bereits. Doppel-Escape ist der häufigste Bug.
Query-Strings: jeden Wert einzeln kodieren. Die ganze URL zu kodieren verschleiert legitime = und &.
JSON ≠ JavaScript. JS erlaubt einfache Quotes, JSON nicht — Profil passend zum Zielformat wählen.
Roundtrip: escapen, unescapen — Original wieder da? Sonst Steuerzeichen vorher bereinigen.

Typische Stolpersteine

Stolperstein

Doppelt escaped: "&" statt "&"

Bereits escaped nochmal escaped — zuerst Unescape, dann einmal fürs Ziel escapen.

Stolperstein

Unicode-Zeichen werden zu literalen \\uXXXX-Escapes

Ältere Downstream-Tools verstehen \uXXXX nicht — URL-Profil (UTF-8-Prozent) oder Roh-UTF-8 nur bei Ausgabe escapen.

Stolperstein

CSV escaped Tab im quoted Field

CSV verdoppelt nur innere Quotes; Tabs und Newlines bleiben. Zählt der Importer Spalten über Tabs/Newlines — Separator ändern (z. B. ;) oder jedes Feld quoten.

Wann dieses Tool nicht passt

HTML für Rendering sanitizen mit erlaubten Tags — voller Sanitizer wie DOMPurify, kein blindes Escape.
SQL: parametrisierte Queries vom Treiber, kein String-Escape.
Shell-Argumente: abhängig von Shell — shlex oder Äquivalent der Sprache.

FAQ

Unterschied encodeURI vs. encodeURIComponent?

encodeURI lässt reservierte URL-Zeichen (:, /, ?). encodeURIComponent (Standard im URL-Profil hier) kodiert sie — richtig für einzelne Werte, nicht für ganze URLs.

Bleiben Emoji erhalten?

Ja — jedes Profil kodiert UTF-8-Multi-Byte passend (%F0%9F%98%80 für URL, \uD83D\uDE00 als JS-Surrogate-Paar).

Wird Text irgendwohin geschickt?

Nein. Escaping lokal — Ergebnis verlässt den Browser nicht.

Nächste Schritte

Nach Escaping mit Text online vergleichen gegen das Original prüfen.
Eingebettetes JSON mit dem Text-Formatter lesbar machen.
Binärdaten (nicht Text) mit dem Base64/Hex-Codec kodieren.

Warum das wichtig ist

Drei echte Szenarien

Frontend-Entwicklerin

Nutzerinhalt sicher in statisches HTML einbetten

<script> zu <script> — Browser zeigt Literaltext statt Ausführung.

Kein XSS, kein Layout-Bruch

Backend-Ingenieur

Query-String mit Sonderzeichen bauen

name=O'Hara zu name=O%27Hara URL-kodieren, bevor es an die URL gehängt wird.

Funktionierender API-Call

Data Engineer

CSV mit eingebetteten Kommas und Quotes laden

Felder quotieren und innere Quotes verdoppeln — CSV-Profil macht beides automatisch.

Sauberer Import

Schritt für Schritt

Roh-Eingabe einfügen

Original links, escaped Ergebnis rechts.

Zielformat wählen

HTML, URL, JavaScript / JSON, CSV oder XML — jeweils eigene Regeln. Passend zum Ziel der Zeichenkette, nicht zur Quelle.

Escape vs. Unescape

Unescape, wenn bereits escaped — z. B. JSON-kodierte Logzeile debuggen.

Sichere Zeichenkette kopieren

In Code, Config oder API-Call.

HTML-Escape schützt vor losen Tags

Raw

<a href="x">Hi & welcome</a>

HTML-escaped

&lt;a href=&quot;x&quot;&gt;Hi &amp; welcome&lt;/a&gt;

JavaScript-Style für JSON-String-Literal

Raw

She said "hi"	on Tuesday — line break
follows.

JS-escaped

She said \"hi\"\ton Tuesday \u2014 line break\nfollows.

Moduswechsel formatiert die rechte Seite live neu.

Profi-Tipps

Nur escapen, wenn nötig. Bei textContent eines DOM-Knotens escaped der Browser bereits. Doppel-Escape ist der häufigste Bug.

Query-Strings: jeden Wert einzeln kodieren. Die ganze URL zu kodieren verschleiert legitime = und &.

JSON ≠ JavaScript. JS erlaubt einfache Quotes, JSON nicht — Profil passend zum Zielformat wählen.

Roundtrip: escapen, unescapen — Original wieder da? Sonst Steuerzeichen vorher bereinigen.

Typische Stolpersteine

Stolperstein

Doppelt escaped: "&" statt "&"

Bereits escaped nochmal escaped — zuerst Unescape, dann einmal fürs Ziel escapen.

Stolperstein

Unicode-Zeichen werden zu literalen \\uXXXX-Escapes

Ältere Downstream-Tools verstehen \uXXXX nicht — URL-Profil (UTF-8-Prozent) oder Roh-UTF-8 nur bei Ausgabe escapen.

Stolperstein

CSV escaped Tab im quoted Field

CSV verdoppelt nur innere Quotes; Tabs und Newlines bleiben. Zählt der Importer Spalten über Tabs/Newlines — Separator ändern (z. B. ;) oder jedes Feld quoten.

FAQ

Unterschied encodeURI vs. encodeURIComponent?

encodeURI lässt reservierte URL-Zeichen (:, /, ?). encodeURIComponent (Standard im URL-Profil hier) kodiert sie — richtig für einzelne Werte, nicht für ganze URLs.

Bleiben Emoji erhalten?

Ja — jedes Profil kodiert UTF-8-Multi-Byte passend (%F0%9F%98%80 für URL, \uD83D\uDE00 als JS-Surrogate-Paar).

Wird Text irgendwohin geschickt?

Nein. Escaping lokal — Ergebnis verlässt den Browser nicht.