假设我从服务请求中获得了一些JSON,如下所示:
{
"message": "We're unable to complete your request at this time."
}
我不确定为什么反叛者的编码方式(');我所知道的是我想解码它。
这是一种使用jQuery的方法:
function decodeHtml(html) {
return $('<div>').html(html).text();
}
答案 0 :(得分:333)
这是我最喜欢解码HTML字符的方法。使用此代码的优点是标签也会被保留。
function decodeHtml(html) {
var txt = document.createElement("textarea");
txt.innerHTML = html;
return txt.value;
}
输入:
Entity: Bad attempt at XSS:<script>alert('new\nline?')</script><br>
输出:
Entity: Bad attempt at XSS:<script>alert('new\nline?')</script><br>
答案 1 :(得分:74)
请勿使用DOM执行此操作。使用DOM解码HTML实体(如当前接受的答案中所述)会导致differences in cross-browser results。
对于强大的&amp;根据HTML标准中的算法解码字符引用的确定性解决方案,使用the he library。从其自述文件:
他(对于“HTML实体”)是一个用JavaScript编写的健壮的HTML实体编码器/解码器。它支持all standardized named character references as per HTML,处理ambiguous ampersands和其他边缘情况just like a browser would,具有广泛的测试套件,并且 - 与许多其他JavaScript解决方案相反 - 他处理星体Unicode符号就好了。 An online demo is available.
以下是您使用它的方式:
he.decode("We're unable to complete your request at this time.");
→ "We're unable to complete your request at this time."
免责声明:我是他库的作者。
有关详情,请参阅this Stack Overflow answer。
答案 2 :(得分:29)
如果您不想使用html / dom,可以使用正则表达式。我没有测试过这个;但是有些东西:
function parseHtmlEntities(str) {
return str.replace(/&#([0-9]{1,3});/gi, function(match, numStr) {
var num = parseInt(numStr, 10); // read num as normal number
return String.fromCharCode(num);
});
}
注意:这只适用于数字html实体,而不适用于&amp; oring;。
修正了函数(一些拼写错误),在这里测试:http://jsfiddle.net/Be2Bd/1/
答案 3 :(得分:25)
jQuery将为您编码和解码。
function htmlDecode(value) {
return $("<textarea/>").html(value).text();
}
function htmlEncode(value) {
return $('<textarea/>').text(value).html();
}<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>
<script>
$(document).ready(function() {
$("#encoded")
.text(htmlEncode("<img src onerror='alert(0)'>"));
$("#decoded")
.text(htmlDecode("<img src onerror='alert(0)'>"));
});
</script>
<span>htmlEncode() result:</span><br/>
<div id="encoded"></div>
<br/>
<span>htmlDecode() result:</span><br/>
<div id="decoded"></div>
答案 4 :(得分:19)
有JS函数来处理&amp; #xxxx 样式的实体:
function at GitHub
// encode(decode) html text into html entity
var decodeHtmlEntity = function(str) {
return str.replace(/&#(\d+);/g, function(match, dec) {
return String.fromCharCode(dec);
});
};
var encodeHtmlEntity = function(str) {
var buf = [];
for (var i=str.length-1;i>=0;i--) {
buf.unshift(['&#', str[i].charCodeAt(), ';'].join(''));
}
return buf.join('');
};
var entity = '高级程序设计';
var str = '高级程序设计';
console.log(decodeHtmlEntity(entity) === str);
console.log(encodeHtmlEntity(str) === entity);
// output:
// true
// true
答案 5 :(得分:7)
_.unescape做你正在寻找的东西
答案 6 :(得分:0)
这是一个很好的答案。您可以使用角度像这样:
moduleDefinitions.filter('sanitize', ['$sce', function($sce) {
return function(htmlCode) {
var txt = document.createElement("textarea");
txt.innerHTML = htmlCode;
return $sce.trustAsHtml(txt.value);
}
}]);