Skip to main content
CheckTown
Convertidores

Codificación de entidades HTML: Previene XSS y muestra caracteres especiales

Publicado 5 min de lectura
En este artículo

¿Qué son las entidades HTML?

Las entidades HTML son códigos especiales que representan caracteres que tienen un significado especial en HTML o que no se pueden escribir directamente. Por ejemplo, &lt; es la entidad HTML para el carácter < (signo de menor que), que de otro modo se interpretaría como el inicio de una etiqueta HTML.

Las entidades pueden ser nombradas (&lt;, &amp;, &copy;) o numéricas (&#60;, &#38;). Las entidades nombradas son más legibles; las numéricas funcionan para cualquier carácter Unicode, incluso sin una entidad nombrada específica.

Cómo funciona la codificación de entidades HTML

El codificador analiza el texto en busca de caracteres que necesitan escape y los reemplaza con sus equivalentes de entidad.

  • Escape crítico — < > & " ' siempre se escapan para prevenir inyección HTML y XSS
  • Escape extendido — opcionalmente codifica todos los caracteres no ASCII como entidades numéricas
  • Modo de decodificación — convierte el HTML codificado con entidades de vuelta a texto plano para su inspección

Pruébalo gratis — sin registro

Codificar entidades HTML →

Cuándo usar la codificación de entidades HTML

La codificación de entidades HTML es fundamental para la seguridad y para mostrar caracteres especiales en páginas web.

  • Visualización de contenido de usuarios — siempre codifica el contenido generado por usuarios antes de renderizarlo en HTML para prevenir ataques XSS
  • Plantillas de correo electrónico — codifica los caracteres especiales en plantillas de correo HTML para garantizar una representación correcta
  • Documentación — escapa los ejemplos de código en documentación HTML para que los corchetes angulares se muestren correctamente

Preguntas frecuentes

¿Qué es XSS y cómo lo previene la codificación de entidades?

Cross-Site Scripting (XSS) es un ataque en el que se inyectan scripts maliciosos en páginas web vistas por otros usuarios. Si un usuario envía <script>alert('xss')</script> y se renderiza como HTML, el script se ejecuta. La codificación de entidades convierte < en &lt;, haciendo que se muestre como texto y evitando la ejecución del script.

¿Cuándo debo usar &amp; en lugar de & en HTML?

En atributos y contenido HTML, & debe codificarse como &amp; siempre que no forme parte de una entidad HTML. Un & sin codificar en HTML es un error de análisis. En URLs dentro de atributos href, & también debe codificarse como &amp; para ser HTML válido (aunque los navegadores suelen ser tolerantes).

¿La codificación de entidades HTML protege contra la inyección SQL?

No. La codificación de entidades HTML solo protege contra la inyección HTML (XSS). Para prevenir la inyección SQL, usa consultas parametrizadas o sentencias preparadas en tu capa de base de datos. Son vectores de ataque separados que requieren defensas distintas — nunca confíes en la codificación HTML para prevenir la inyección SQL.

Herramientas relacionadas

Codificación y decodificación de URL: Haz URLs seguras para la web al instanteLos caracteres especiales rompen las URLs. Aprende cómo funciona la codificación porcentual.Leer artículo → Codificación y decodificación Base64: La guía completa del desarrolladorBase64 está en todas partes del desarrollo web. Aprende cómo funciona, cuándo usarlo y errores comunes.Leer artículo → Convertidor de mayúsculas: camelCase, snake_case, PascalCase y másDiferentes convenciones de codificación usan diferentes estilos de mayúsculas. Aprende todos los formatos.Leer artículo →
Volver al Blog