Base64 转 HTML 解码器
将 Base64 字符串或 Data URL 解码为 HTML。支持沙箱预览、复制源码和下载 .html 文件。
您的输入在浏览器本地处理,不会上传到服务器。
输出
左侧粘贴 Base64 后显示预览…
主要功能
沙箱安全预览
用 iframe sandbox 渲染 HTML,禁止弹窗、表单提交和访问父页面,防止恶意脚本逃逸。
查看 HTML 源码
解码后直接显示原始 HTML,可复制粘贴到编辑器或进一步处理。
下载 .html 文件
一键将解码结果保存为本地 HTML 文件,无需服务器参与。
支持多种输入格式
自动处理 Data URL 前缀、Base64URL(- 和 _ 字符)和标准 Base64,无需手动清理。
为什么用 iframe sandbox 预览?
直接用 innerHTML 或 document.write 渲染解码后的 HTML 存在 XSS 风险——如果 Base64 内容包含恶意脚本,它会在当前页面上下文中执行,可以访问 cookie、localStorage 和父页面的 DOM。
本工具使用 <iframe sandbox="allow-scripts allow-same-origin"> 渲染 HTML。沙箱模式下,即便脚本能运行,也无法:弹出对话框(alert/confirm)、触发顶层导航、提交表单到外部服务器、访问父页面的 JavaScript 上下文。
iframe sandbox 属性说明
本工具使用 sandbox="allow-scripts allow-same-origin",如果你在自己的项目中嵌入解码后的 HTML,可以按需调整:
| 属性值 | 作用 | 本工具使用 |
|---|---|---|
| allow-scripts | 允许执行 JavaScript | ✓ |
| allow-same-origin | 保留 Same-Origin 策略(否则视为独立 origin) | ✓ |
| allow-forms | 允许提交表单 | ✗ |
| allow-popups | 允许弹出窗口(window.open / alert) | ✗ |
| allow-top-navigation | 允许改变顶层窗口的 URL | ✗ |
| allow-downloads | 允许触发文件下载 | ✗ |
相关工具
常见问题
预览不受信任的 Base64 HTML 安全吗?
本工具在沙箱 iframe 中预览 HTML(sandbox="allow-scripts allow-same-origin")。弹窗、顶层导航、表单提交和访问父页面均被禁止。谨慎起见,请避免解码来自完全不可信来源的 HTML。
工具支持哪些输入格式?
支持原始 Base64、完整 Data URL(data:text/html;base64,...)以及 Base64URL(使用 - 和 _ 代替 + 和 /)。工具自动检测并标准化所有三种格式。
如何将 HTML 编码为 Base64?
使用本站的 HTML 转 Base64 工具,可将任意 HTML 字符串转换为 Base64、Data URL、iframe 嵌入代码或下载链接。
为什么沙箱预览与真实浏览器标签页显示不同?
沙箱限制会屏蔽 localStorage、cookie、alert() 和跨域请求。如需完整渲染,请使用下载按钮将文件在新标签页中直接打开。
可以解码 Base64URL 编码的 HTML 吗?
可以。Base64URL 将 + 替换为 -,/ 替换为 _。工具自动检测这些字符并在解码前转换。
文件会上传到服务器吗?
不会。解码完全在浏览器中进行,使用内置的 atob() 函数和 TextDecoder,不向任何服务器发送任何内容。