向页面中注入不受信任的HTML是危险的，如如何使用jQuery解码HTML实体中所述。

一种替代方法是使用PHP html_entity_decode的纯javascript实现(来自http://phpjs.org/functions/html_entity_decode:424)。这个例子应该是这样的:

var varTitle = html_entity_decode("Chris' corner");

我知道我有点晚了，但我认为我可以提供以下片段作为我如何使用jQuery解码HTML实体的示例:

var varTitleE = "Chris' corner";
var varTitleD = $("<div/>").html(varTitleE).text();

console.log(varTitleE + " vs. " + varTitleD);​​​​​​​​​​​

不要忘记启动检查器/firebug以查看控制台结果——或者简单地将console.log(…)替换为/alert(…)

也就是说，以下是我的控制台通过谷歌Chrome检查器读取的内容:

Chris' corner vs. Chris' corner

这里有一个不需要创建div的快速方法，并解码“最常见的”HTML转义字符:

function decodeHTMLEntities(text) {
    var entities = [
        ['amp', '&'],
        ['apos', '\''],
        ['#x27', '\''],
        ['#x2F', '/'],
        ['#39', '\''],
        ['#47', '/'],
        ['lt', '<'],
        ['gt', '>'],
        ['nbsp', ' '],
        ['quot', '"']
    ];

    for (var i = 0, max = entities.length; i < max; ++i) 
        text = text.replace(new RegExp('&'+entities[i][0]+';', 'g'), entities[i][1]);

    return text;
}

向页面中注入不受信任的HTML是危险的，如如何使用jQuery解码HTML实体中所述。

一种替代方法是使用PHP html_entity_decode的纯javascript实现(来自http://phpjs.org/functions/html_entity_decode:424)。这个例子应该是这样的:

var varTitle = html_entity_decode("Chris' corner");

这是另一个版本:

函数convertHTMLEntity(文本){ const span = document.createElement('span'); 返回文本 .replace (/ & [# A-Za-z0-9] +, / gi(实体、位置、文本)= > { 跨度。innerHTML =实体; 返回span.innerText; })； ｝ console.log (convertHTMLEntity(“大& lt;& # 163;500 '));

就像Robert K说的，不要使用jQuery.html().text()来解码html实体，因为这是不安全的，因为用户输入永远不能访问DOM。阅读关于XSS的文章，了解为什么这是不安全的。

相反，尝试使用带有escape和unescape方法的Underscore.js实用带库:

_.escape（string）

转义插入HTML的字符串，替换&，<，>，"，'，和'字符。

_.escape('Curly, Larry & Moe');
=> "Curly, Larry & Moe"

_.unescape（string）

escape的反义词，代替&， &lt;， &gt;， &quot;， &#96;和& # x27;和他们没有逃脱的同伴。

_.unescape('Curly, Larry & Moe');
=> "Curly, Larry & Moe"

要支持解码更多字符，只需复制下划线unescape方法并向映射添加更多字符。