Dekode & amp; kembali ke & dalam JavaScript

Saya memiliki string seperti

var str = 'One & two & three';

diterjemahkan ke dalam HTML oleh server web. Saya perlu mengubah string itu menjadi

'One & two & three'

Saat ini, itulah yang saya lakukan (dengan bantuan jQuery):

$(document.createElement('div')).html('{{ driver.person.name }}').text()

Namun saya memiliki perasaan gelisah bahwa saya salah melakukannya. saya telah mencoba

unescape("&")

tetapi tampaknya tidak berfungsi, begitu pula komponen decodeURI / decodeURIC.

Apakah ada cara lain yang lebih asli dan elegan untuk melakukannya?

Opsi yang lebih modern untuk menafsirkan HTML (teks dan lainnya) dari JavaScript adalah dukungan HTML di DOMParserAPI ( lihat di sini di MDN ). Ini memungkinkan Anda untuk menggunakan parser HTML asli peramban untuk mengonversi string ke dokumen HTML. Ini telah didukung dalam versi baru dari semua browser utama sejak akhir 2014.

Jika kita hanya ingin mendekodekan beberapa konten teks, kita dapat meletakkannya sebagai satu-satunya konten dalam badan dokumen, parsing dokumen, dan mengeluarkan isinya .body.textContent.

var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

Kita dapat melihat dalam spesifikasi draf untukDOMParser JavaScript yang tidak diaktifkan untuk dokumen yang diuraikan, sehingga kami dapat melakukan konversi teks ini tanpa masalah keamanan.

The parseFromString(str, type)Metode harus menjalankan langkah-langkah ini, tergantung pada jenis :

• "text/html"

  Parsing str dengan HTML parser, dan kembalikan yang baru dibuat Document.

  Bendera skrip harus disetel ke "dinonaktifkan".

  CATATAN

  scriptelemen ditandai tidak dapat dieksekusi dan isi noscriptdiuraikan sebagai markup.

Ini di luar cakupan pertanyaan ini, tetapi harap perhatikan bahwa jika Anda mengambil sendiri simpul DOM yang diurai (bukan hanya konten teks mereka) dan memindahkannya ke dokumen DOM yang hidup, ada kemungkinan bahwa skrip mereka akan diaktifkan kembali, dan mungkin ada menjadi masalah keamanan. Saya belum merisetnya, jadi harap berhati-hati.

Apakah Anda perlu mendekode semua entitas HTML yang disandikan atau hanya &dirinya sendiri?

Jika Anda hanya perlu menangani &maka Anda bisa melakukan ini:

var decoded = encoded.replace(/&/g, '&');

Jika Anda perlu mendekode semua entitas HTML maka Anda dapat melakukannya tanpa jQuery:

var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

Harap perhatikan komentar Mark di bawah ini yang menyoroti celah keamanan dalam versi yang lebih awal dari jawaban ini dan merekomendasikan penggunaan textareadaripada divuntuk mengurangi potensi kerentanan XSS. Kerentanan ini ada apakah Anda menggunakan jQuery atau JavaScript biasa.

Matthias Bynens memiliki perpustakaan untuk ini: https://github.com/mathiasbynens/he

Contoh:

console.log(
    he.decode("Jörg &amp Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"

Saya sarankan mendukungnya daripada peretasan yang melibatkan pengaturan konten HTML suatu elemen dan kemudian membaca kembali konten teksnya. Pendekatan semacam itu bisa berhasil, tetapi sangat berbahaya dan memberikan peluang XSS jika digunakan pada input pengguna yang tidak dipercaya.

Jika Anda benar-benar tidak tega memuat di perpustakaan, Anda dapat menggunakan textarearetasan yang dijelaskan dalam jawaban ini untuk pertanyaan hampir duplikat, yang, tidak seperti berbagai pendekatan serupa yang telah disarankan, tidak memiliki celah keamanan yang saya ketahui:

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 & 2')); // '1 & 2'

Tetapi perhatikan masalah keamanan, yang memengaruhi pendekatan serupa dengan yang ini, yang saya cantumkan dalam jawaban terkait! Pendekatan ini adalah peretasan, dan perubahan di masa depan terhadap konten yang diizinkan textarea(atau bug pada browser tertentu) dapat menyebabkan kode yang bergantung padanya tiba-tiba memiliki lubang XSS suatu hari.

var htmlEnDeCode = (function() {
    var charToEntityRegex,
        entityToCharRegex,
        charToEntity,
        entityToChar;

    function resetCharacterEntities() {
        charToEntity = {};
        entityToChar = {};
        // add the default set
        addCharacterEntities({
            '&'     :   '&',
            '>'      :   '>',
            '&lt;'      :   '<',
            '&quot;'    :   '"',
            '&#39;'     :   "'"
        });
    }

    function addCharacterEntities(newEntities) {
        var charKeys = [],
            entityKeys = [],
            key, echar;
        for (key in newEntities) {
            echar = newEntities[key];
            entityToChar[key] = echar;
            charToEntity[echar] = key;
            charKeys.push(echar);
            entityKeys.push(key);
        }
        charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
        entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
    }

    function htmlEncode(value){
        var htmlEncodeReplaceFn = function(match, capture) {
            return charToEntity[capture];
        };

        return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
    }

    function htmlDecode(value) {
        var htmlDecodeReplaceFn = function(match, capture) {
            return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
        };

        return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
    }

    resetCharacterEntities();

    return {
        htmlEncode: htmlEncode,
        htmlDecode: htmlDecode
    };
})();

Ini dari kode sumber ExtJS.

element.innerText juga melakukan trik.

Anda dapat menggunakan fungsi Lodash unescape / escape https://lodash.com/docs/4.17.5#unescape

import unescape from 'lodash/unescape';

const str = unescape('fred, barney, & pebbles');

str akan menjadi 'fred, barney, & pebbles'

Jika Anda mencarinya, seperti saya - sementara itu ada metode JQuery yang bagus dan aman.

https://api.jquery.com/jquery.parsehtml/

Anda bisa f.ex. ketikkan ini di konsol Anda:

var x = "test &";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

Jadi $ .parseHTML (x) mengembalikan sebuah array, dan jika Anda memiliki markup HTML dalam teks Anda, array.length akan lebih besar dari 1.

jQuery akan menyandikan dan mendekode untuk Anda. Namun, Anda perlu menggunakan tag textarea, bukan div.

var str1 = 'One & two & three';
var str2 = "One & two & three";
  
$(document).ready(function() {
   $("#encoded").text(htmlEncode(str1)); 
   $("#decoded").text(htmlDecode(str2));
});

function htmlDecode(value) {
  return $("<textarea/>").html(value).text();
}

function htmlEncode(value) {
  return $('<textarea/>').text(value).html();
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>

<div id="encoded"></div>
<div id="decoded"></div>

Pertama buat suatu <span id="decodeIt" style="display:none;"></span>tempat di tubuh

Selanjutnya, tetapkan string yang akan diterjemahkan sebagai innerHTML untuk ini:

document.getElementById("decodeIt").innerHTML=stringtodecode

Akhirnya,

stringtodecode=document.getElementById("decodeIt").innerText

Ini adalah kode keseluruhan:

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

solusi javascript yang menangkap yang umum:

var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

ini kebalikan dari https://stackoverflow.com/a/4835406/2738039

Untuk cowok satu baris:

const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;

console.log(htmlDecode('Complicated - Dimitri Vegas & Like Mike'));

Pertanyaannya tidak menentukan asal dari xtetapi masuk akal untuk mempertahankan, jika kita bisa, terhadap masukan berbahaya (atau hanya tidak terduga, dari aplikasi kita sendiri). Misalnya, anggaplah xmemiliki nilai &amp; <script>alert('hello');</script>. Cara aman dan sederhana untuk menangani ini di jQuery adalah:

var x    = "&amp; <script>alert('hello');</script>";
var safe = $('<div />').html(x).text();

// => "& alert('hello');"

Ditemukan melalui https://gist.github.com/jmblog/3222899 . Saya tidak bisa melihat banyak alasan untuk menghindari menggunakan solusi ini mengingat setidaknya itu pendek, jika tidak lebih pendek dari beberapa alternatif dan memberikan pertahanan terhadap XSS.

(Saya awalnya memposting ini sebagai komentar, tetapi saya menambahkannya sebagai jawaban karena komentar berikutnya di utas yang sama meminta saya melakukannya).

Saya mencoba segalanya untuk menghapus & dari array JSON. Tidak ada contoh di atas, tetapi https://stackoverflow.com/users/2030321/chris memberikan solusi hebat yang membuat saya memperbaiki masalah saya.

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

Saya tidak menggunakan, karena saya tidak mengerti bagaimana cara memasukkannya ke jendela modal yang menarik data JSON ke dalam array, tapi saya coba ini berdasarkan contoh, dan itu berhasil:

var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&", "&"));

Saya suka karena sederhana, dan berfungsi, tetapi tidak yakin mengapa itu tidak banyak digunakan. Dicari hai & rendah untuk menemukan solusi sederhana. Saya terus mencari pemahaman tentang sintaks, dan jika ada risiko menggunakan ini. Belum menemukan apa pun.