HTMLエスケープ変換ツール

1. 「エスケープ」または「アンエスケープ」モードを選択します
2. テキストエリアにテキストを入力すると自動で変換されます
3. 「コピー」ボタンで結果をクリップボードにコピーできます
4. 「ダウンロード」ボタンでテキストファイルとして保存できます
5. 「HTMLプレビュー」でアンエスケープ結果を実際にHTMLとして確認できます

HTMLエスケープとは、HTML内で特別な意味を持つ文字（<、>、&など）を、ブラウザが文字として認識する形式（HTMLエンティティ）に変換することです。これにより、HTMLタグとして解釈されずに、テキストとして表示できるようになります。

例えば、<script>というテキストをそのままHTMLに記述すると、ブラウザはこれをJavaScriptのタグとして解釈しようとします。しかし、<script>とエスケープすることで、タグではなく文字列として表示されます。

HTMLエスケープは、クロスサイトスクリプティング（XSS）攻撃を防ぐための重要な対策です。ユーザーからの入力をWebページに表示する際は、必ずエスケープ処理を行うことが推奨されます。

XSS攻撃の例：

悪意のあるユーザーが<script>alert('XSS')</script>というテキストを入力した場合、エスケープせずに表示すると、このスクリプトが実行されてしまいます。しかし、エスケープすることで、単なるテキストとして表示され、スクリプトは実行されません。

対策のポイント：

• ユーザー入力は常に信頼しない
• HTML内に表示する前に必ずエスケープ
• HTMLタグとして扱いたい場合は、許可リストベースのサニタイズを使用
• JavaScriptのコンテキストでは追加の対策が必要

エスケープ：特殊文字を無害な形式に変換。すべての文字を文字列として扱う。

サニタイズ：危険なタグやスクリプトを除去しつつ、安全なHTMLタグは許可する。

基本的にはエスケープが推奨されます。HTMLタグを許可したい場合のみ、ホワイトリスト方式のサニタイズを使用してください。