morekits.com
コンテンツツールNEW画像ツールNEW時間ツールHOT金融ツールHOTWeb・開発ツールユーティリティツール
morekits.com

コンテンツ、時間、金融、Web作業向けの無料・プライバシー重視のオンラインツール。高速・安全で、100%クライアント側で動作。

カテゴリー

コンテンツツール画像ツール時間ツール金融ツールWeb・開発ツールユーティリティツールリファレンス

人気のツール

テキスト比較複利計算機時間変換世界時計繰上返済計算機数字金額を中国語大写に変換WiFi QRコード生成画像透かしツールLPR金利国コード通貨コード

もっと見る

チュートリアルすべてのツールタグ更新履歴

© 2026 morekits.com. All rights reserved.

MoreKits について法的情報と規約お問い合わせ
  2. チュートリアル
  3. HTML/URL/JS文字列をエスケープ/アンエスケープする方法
コンテンツツール

HTML/URL/JS文字列をエスケープ/アンエスケープする方法

ページやAPIを stray なクォート、アンパサンド、Unicode で壊さないために。HTML、URL、JavaScript、JSON、CSV、XMLの安全な形へ相互変換します。

MoreKits チーム
2026-01-16
13 分で読めます
HTML/URL/JS文字列をエスケープ/アンエスケープする方法
関連ツール

このガイドと一緒に使うと便利なツール:

  • テキストエスケープ
  • コード整形
  • URL解析
  • コーデック
  • Base64 画像変換
  • テキスト比較

なぜ重要か

顧客レビューをウェブバナー用JSON設定に貼ったとします。レビューに紛れた"でバンドラーはビルド成功、デプロイ後にトップページがUncaught SyntaxError。修正は単純—クォートをエスケープ—ですが、どのエスケープ(HTMLエンティティ?JSON \"?URL %22?)かが実務スキルです。このツールはそれらを1か所に集め、Stack Overflow の正規表現コピペをやめさせます。

実際の3つのシーン

フロントエンド開発者
ユーザー内容を静的HTMLに安全に埋め込む

<script>を&lt;script&gt;に変換し、ブラウザがリテラル表示するようにします。

XSSや描画破綿を防ぐ

バックエンドエンジニア
特殊文字つきクエリ文字列を組み立てる

name=O'Haraをname=O%27HaraへURLエンコードしてからURLへ付加します。

API呼び出しが通る

データエンジニア
カンマと引用符を含むCSVを取り込む

フィールドを引用で囲み、内側の引用は倍化—CSVプロファイルが自動処理します。

きれいなインポート

手順

エスケープツールを開きます。

  1. 1

    生の入力を貼る

    オリジナルは左ペイン、エスケープ結果は右ペインに表示されます。

  2. 2

    宛先フォーマットを選ぶ

    HTML、URL、JavaScript/JSON、CSV、XML。ルールはそれぞれ異なります。ソースではなく宛先に合わせて選びます。

  3. 3

    Escape と Unescape を切り替える

    すでにエスケープされた文字列から元へ戻すときはUnescape—たとえばJSONエンコードされたログ行をデバッグするときなど。

  4. 4

    安全な文字列をコピーする

    結果をコード、設定、API呼び出しへ貼ります。

HTMLエスケープはタグ暴走を防ぐ

生

<a href="x">Hi & welcome</a>

HTMLエスケープ済み

&lt;a href=&quot;x&quot;&gt;Hi &amp; welcome&lt;/a&gt;
JSON文字列リテラル向けJSスタイルのエスケープ

生

She said "hi"	on Tuesday — line break
follows.

JSエスケープ済み

She said \"hi\"\ton Tuesday \u2014 line break\nfollows.
HTML/URL/JS/CSV/XMLのモード選択UI
モードを切り替えると右ペインがリアルタイムで更新されます。

実践テクノ

  • 必要なときだけエスケープ。 宛先がDOMノードのtextContentならブラウザが代行します。二重エスケープが最頻バグです。
  • URLクエリは値ごとにエンコードします。URL全体を一度にエンコードすると正しい=``&まで壊します。
  • JSON ≠ JavaScript。 JSはシングルクォートが使える一方、JSONは使えません。宛先フォーマットに合うプロファイルを選んでください。
  • 往復テスト: エスケープしてアンエスケープし、オリジナルと一致するか確認します。コントロール文字が混入していると一致しないので先に強めのクリーンが必要になることがあります。

よくある落とし穴

よくある誤り

二重エスケープ: 「&amp;」になってほしいのに「&amp;amp;」

すでにエスケープ済み入力にまたかけています。Unescapeで生形式か確認してから、宛先用に一度だけエスケープします。

よくある誤り

Unicodeがファイル上でリテラル`\u00XX`になる

下流ツール(古いPHPや一部SQLドライバ)が\uXXXXを解釈しません。URLプロファイル(UTF-8バイトのパーセントエンコード)を使うか、生UTF-8で保持し出力時のみエスケープします。

よくある誤り

CSVが引用フィールド内のタブまでエスケープするようだ

CSV規則は内側引用の倍化のみで、タブや改行はそのまま通ります。インポーターが列カウントでタブ/改行に弱い場合は区切りを;へ変えるか、全フィールドを引用で囲みます。

向いていない用途

  • タグ許可リスト付きHTMLの無害化(ブログコメントなど)は DOMPurify のようなサニタイザが必要です。丸ごとエスケープでは足りません。
  • SQLはドライバのパラメータバインドを使うべきで、文字列レベルのエスケープではありません。
  • シェルの引数エスケープはシェル依存(bash対cmd.exe)。言語標準のshlex等を使ってください。

FAQ

encodeURI と encodeURIComponent の違いは?

encodeURIは予約URL文字(:``/``?など)を残します。encodeURIComponent(ここのURLプロファイル既定)はそれらもエンコードするので、単一値向きであって全体URLには向きません。

絵文字は保持されますか?

はい。各プロファイルがマルチバイトUTF-8を適切に処理します(URLなら %F0%9F%98%80、JSならサロゲート \uD83D\uDE00 など)。

テキストはどこかに送信されますか?

いいえ。エスケープはローカルで完結し、結果はブラウザから出ません。

次のステップ

  1. エスケープ後、オリジナルとの比較で目視チェックします。
  2. 埋め込んだJSONをテキストフォーマッターで整形します。
  3. テキストではなくバイナリなら、Base64/Hexコーデックを使ってください。

試してみる準備はできましたか?

ツールに直接飛び込んで、その動作を確認してください。