Dekodieren & amp; zurück zu & in JavaScript

Ich habe Saiten wie

var str = 'One & two & three';

vom Webserver in HTML gerendert. Ich muss diese Saiten in verwandeln

'One & two & three'

Derzeit mache ich das (mit Hilfe von jQuery):

$(document.createElement('div')).html('{{ driver.person.name }}').text()

Ich habe jedoch ein beunruhigendes Gefühl, dass ich es falsch mache. Ich habe versucht

unescape("&")

aber es scheint nicht zu funktionieren, decodeURI / decodeURIComponent auch nicht.

Gibt es andere, einheimischere und elegantere Möglichkeiten?

Eine modernere Option zum Interpretieren von HTML (Text und andere) aus JavaScript ist die HTML-Unterstützung in der DOMParserAPI ( siehe hier in MDN ). Auf diese Weise können Sie den nativen HTML-Parser des Browsers verwenden, um eine Zeichenfolge in ein HTML-Dokument zu konvertieren. Es wird seit Ende 2014 in neuen Versionen aller gängigen Browser unterstützt.

Wenn wir nur Textinhalte dekodieren möchten, können wir ihn als einzigen Inhalt in einen Dokumentkörper einfügen, das Dokument analysieren und den Inhalt herausziehen .body.textContent.

var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

Wir können im Entwurf der Spezifikation sehen,DOMParser dass JavaScript für das analysierte Dokument nicht aktiviert ist, sodass wir diese Textkonvertierung ohne Sicherheitsbedenken durchführen können.

Die parseFromString(str, type)Methode muss diese Schritte je nach Typ ausführen :

• "text/html"

  Analysieren Sie str mit einem HTML parserund geben Sie das neu erstellte zurückDocument .

  Das Skriptflag muss auf "deaktiviert" gesetzt sein.

  HINWEIS

  scriptElemente werden als nicht ausführbar markiert und der Inhalt von wird noscriptals Markup analysiert.

Es würde den Rahmen dieser Frage sprengen , aber bitte beachten Sie, dass, wenn Sie die analysierten DOM-Knoten selbst (nicht nur ihren Textinhalt) nehmen und sie in das Live-Dokument-DOM verschieben, es möglich ist, dass ihre Skripterstellung wieder aktiviert wird, und dies könnte der Fall sein Sicherheitsbedenken sein. Ich habe es nicht recherchiert, also seien Sie bitte vorsichtig.

Müssen Sie alle codierten HTML-Entitäten oder nur sich &selbst dekodieren ?

Wenn Sie nur damit umgehen müssen, &können Sie dies tun:

var decoded = encoded.replace(/&/g, '&');

Wenn Sie alle HTML-Entitäten dekodieren müssen, können Sie dies ohne jQuery tun:

var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

Bitte beachten Sie die folgenden Kommentare von Mark, die Sicherheitslücken in einer früheren Version dieser Antwort hervorheben, und empfehlen, potenzielle XSS-Schwachstellen zu verwenden, textareaanstatt sie divzu mindern. Diese Sicherheitsanfälligkeiten bestehen unabhängig davon, ob Sie jQuery oder einfaches JavaScript verwenden.

Matthias Bynens hat dafür eine Bibliothek: https://github.com/mathiasbynens/he

Beispiel:

console.log(
    he.decode("Jörg &amp Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"

Ich schlage vor, es Hacks vorzuziehen, bei denen der HTML-Inhalt eines Elements festgelegt und dann dessen Textinhalt zurückgelesen wird. Solche Ansätze können funktionieren, sind jedoch täuschend gefährlich und bieten XSS-Möglichkeiten, wenn sie für nicht vertrauenswürdige Benutzereingaben verwendet werden.

Wenn Sie es wirklich nicht ertragen können, in eine Bibliothek zu laden, können Sie den textareain dieser Antwort beschriebenen Hack auf eine nahezu doppelte Frage anwenden, die im Gegensatz zu verschiedenen ähnlichen Ansätzen, die vorgeschlagen wurden, keine mir bekannten Sicherheitslücken aufweist:

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 & 2')); // '1 & 2'

Beachten Sie jedoch die Sicherheitsprobleme, die ähnliche Ansätze betreffen, die ich in der verknüpften Antwort aufführe! Dieser Ansatz ist ein Hack, und zukünftige Änderungen am zulässigen Inhalt eines textarea(oder an Fehlern in bestimmten Browsern) können dazu führen, dass Code eines Tages plötzlich ein XSS-Loch aufweist.

var htmlEnDeCode = (function() {
    var charToEntityRegex,
        entityToCharRegex,
        charToEntity,
        entityToChar;

    function resetCharacterEntities() {
        charToEntity = {};
        entityToChar = {};
        // add the default set
        addCharacterEntities({
            '&'     :   '&',
            '>'      :   '>',
            '&lt;'      :   '<',
            '&quot;'    :   '"',
            '&#39;'     :   "'"
        });
    }

    function addCharacterEntities(newEntities) {
        var charKeys = [],
            entityKeys = [],
            key, echar;
        for (key in newEntities) {
            echar = newEntities[key];
            entityToChar[key] = echar;
            charToEntity[echar] = key;
            charKeys.push(echar);
            entityKeys.push(key);
        }
        charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
        entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
    }

    function htmlEncode(value){
        var htmlEncodeReplaceFn = function(match, capture) {
            return charToEntity[capture];
        };

        return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
    }

    function htmlDecode(value) {
        var htmlDecodeReplaceFn = function(match, capture) {
            return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
        };

        return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
    }

    resetCharacterEntities();

    return {
        htmlEncode: htmlEncode,
        htmlDecode: htmlDecode
    };
})();

Dies ist aus ExtJS-Quellcode.

element.innerText macht auch den Trick.

Sie können die Lodash Unescape / Escape-Funktion https://lodash.com/docs/4.17.5#unescape verwenden

import unescape from 'lodash/unescape';

const str = unescape('fred, barney, & pebbles');

str wird werden 'fred, barney, & pebbles'

Für den Fall, dass Sie danach suchen, wie ich - mittlerweile gibt es eine nette und sichere JQuery-Methode.

https://api.jquery.com/jquery.parsehtml/

Sie können f.ex. Geben Sie dies in Ihre Konsole ein:

var x = "test &";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

$ .ParseHTML (x) gibt also ein Array zurück. Wenn Sie HTML-Markup in Ihrem Text haben, ist die array.length größer als 1.

jQuery wird für Sie codieren und decodieren. Sie müssen jedoch ein Textarea-Tag verwenden, kein div.

var str1 = 'One & two & three';
var str2 = "One & two & three";
  
$(document).ready(function() {
   $("#encoded").text(htmlEncode(str1)); 
   $("#decoded").text(htmlDecode(str2));
});

function htmlDecode(value) {
  return $("<textarea/>").html(value).text();
}

function htmlEncode(value) {
  return $('<textarea/>').text(value).html();
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>

<div id="encoded"></div>
<div id="decoded"></div>

Erstellen Sie zuerst eine <span id="decodeIt" style="display:none;"></span> irgendwo im Körper

Weisen Sie als Nächstes die Zeichenfolge zu, die als innerHTML dekodiert werden soll:

document.getElementById("decodeIt").innerHTML=stringtodecode

Schließlich,

stringtodecode=document.getElementById("decodeIt").innerText

Hier ist der Gesamtcode:

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

eine Javascript-Lösung, die die gängigen fängt:

var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

Dies ist die Umkehrung von https://stackoverflow.com/a/4835406/2738039

Für einzeilige Leute:

const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;

console.log(htmlDecode('Complicated - Dimitri Vegas & Like Mike'));

Die Frage gibt nicht den Ursprung von an, xaber es ist sinnvoll, wenn möglich gegen böswillige (oder nur unerwartete) Eingaben aus unserer eigenen Anwendung zu verteidigen. Angenommen, xhat einen Wert von &amp; <script>alert('hello');</script>. Eine sichere und einfache Möglichkeit, dies in jQuery zu handhaben, ist:

var x    = "&amp; <script>alert('hello');</script>";
var safe = $('<div />').html(x).text();

// => "& alert('hello');"

Gefunden über https://gist.github.com/jmblog/3222899 . Ich sehe nicht viele Gründe, diese Lösung zu vermeiden, da sie mindestens so kurz ist, wenn nicht sogar kürzer als einige Alternativen und Schutz gegen XSS bietet.

(Ich habe dies ursprünglich als Kommentar gepostet, füge es aber als Antwort hinzu, da ein nachfolgender Kommentar im selben Thread mich dazu aufgefordert hat.)

Ich habe alles versucht, um & aus einem JSON-Array zu entfernen. Keines der oben genannten Beispiele, aber https://stackoverflow.com/users/2030321/chris ergab eine großartige Lösung, die mich dazu brachte, mein Problem zu beheben.

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

Ich habe es nicht verwendet, weil ich nicht verstanden habe, wie man es in ein modales Fenster einfügt, das JSON-Daten in ein Array zieht, aber ich habe dies anhand des Beispiels versucht, und es hat funktioniert:

var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&", "&"));

Ich mag es, weil es einfach war und funktioniert, aber nicht sicher, warum es nicht weit verbreitet ist. Hi & Low gesucht, um eine einfache Lösung zu finden. Ich bemühe mich weiterhin um ein Verständnis der Syntax und ob ein Risiko besteht, diese zu verwenden. Habe noch nichts gefunden.