您不应该为了将值从一个输入字段转移到另一个输入字段而对值进行转义/编码。

<form>
 <input id="button" type="button" value="Click me">
 <input type="hidden" id="hiddenId" name="hiddenId" value="I like cheese">
 <input type="text" id="output" name="output">
</form>
<script>
    $(document).ready(function(e) {
        $('#button').click(function(e) {
            $('#output').val($('#hiddenId').val());
        });
    });
</script>

JS不会插入原始HTML或其他东西;它只是告诉DOM设置value属性(或属性;不确定)。无论哪种方式，DOM都可以为您处理任何编码问题。除非你在做一些奇怪的事情，比如使用document。写或eval, html编码将是有效透明的。

如果你正在讨论生成一个新的文本框来保存结果……还是那么简单。只需要将HTML的静态部分传递给jQuery，然后设置它返回给你的对象的其余属性/属性。

$box = $('<input type="text" name="whatever">').val($('#hiddenId').val());

function encodeHTML（str） { return document.createElement（“a”）.appendChild（ document.createTextNode（str））.parentNode.innerHTML; }; 函数解码HTML（str） { var element = document.createElement（“a”）; element.innerHTML = str; 返回元素文本内容; }; var str = “<” var enc = encodeHTML（str）; var dec = decodeHTML（enc）; console.log（“str： ” + str， “\nenc： ” + enc， “\ndec： ” + dec）;

FWIW，编码没有丢失。编码由标记解析器(浏览器)在页面加载期间使用。读取和解析源代码后，浏览器将DOM加载到内存中，编码就被解析成它所表示的内容。所以当你的JS被执行读取内存中的任何东西时，它得到的字符就是编码所表示的。

在这里，我可能严格按照语义操作，但我希望您理解编码的目的。“失去”这个词听起来像是某件事没有像它应该做的那样运作。

我的pure-JS函数:

/**
 * HTML entities encode
 *
 * @param {string} str Input text
 * @return {string} Filtered text
 */
function htmlencode (str){

  var div = document.createElement('div');
  div.appendChild(document.createTextNode(str));
  return div.innerHTML;
}

JavaScript HTML实体编码和解码

jQuery的技巧不编码引号，在IE中它会删除你的空白。

基于Django中的escape templatetag，我猜它已经被大量使用/测试过了，我做了这个函数来做需要的事情。

可以说，它比解决空格剥离问题的任何变通方法都更简单(而且可能更快)——而且它对引号进行了编码，例如，如果您打算在属性值中使用结果，那么引号是必不可少的。

function htmlEscape(str) {
    return str
        .replace(/&/g, '&')
        .replace(/"/g, '"')
        .replace(/'/g, ''')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;');
}

// I needed the opposite function today, so adding here too:
function htmlUnescape(str){
    return str
        .replace(/&quot;/g, '"')
        .replace(/&#39;/g, "'")
        .replace(/&lt;/g, '<')
        .replace(/&gt;/g, '>')
        .replace(/&amp;/g, '&');
}

更新2013-06-17: 在寻找最快的转义，我发现了一个replaceAll方法的实现: http://dumpsite.com/forum/index.php?topic=4.msg29#msg29 (这里也引用了:替换字符串中所有字符实例的最快方法) 下面是一些性能结果: http://jsperf.com/htmlencoderegex/25

它给出了与上面的内置替换链相同的结果字符串。如果有人能解释为什么它更快，我会很高兴!?

更新2015-03-04: 我刚刚注意到AngularJS正在使用上面的方法: https://github.com/angular/angular.js/blob/v1.3.14/src/ngSanitize/sanitize.js#L435

他们增加了一些改进——他们似乎在处理一个模糊的Unicode问题，以及将所有非字母数字字符转换为实体。在我的印象中，后者是不需要的，只要您为您的文档指定了UTF8字符集。

我要指出的是，(4年后)Django仍然没有做这些事情，所以我不确定它们有多重要: https://github.com/django/django/blob/1.8b1/django/utils/html.py#L44

更新2016-04-06: 你也可能希望转义正斜杠/。对于正确的HTML编码，这不是必需的，但是OWASP建议将其作为一种抗xss安全措施。(感谢@JNF在评论中提出这个建议)

        .replace(/\//g, '/');

Prototype内置了String类。所以如果你正在使用/计划使用Prototype，它会像这样做:

'<div class="article">This is an article</div>'.escapeHTML();
// -> "&lt;div class="article"&gt;This is an article&lt;/div&gt;"