据我所知，javascript中没有任何直接的HTML Encode/Decode方法。

然而，你能做的是，使用JS创建一个任意元素，设置它的内部文本，然后使用innerHTML读取它。

让我们说，使用jQuery，这应该工作:

var helper = $('chalk & cheese').hide().appendTo('body');
var htmled = helper.html();
helper.remove();

或者类似的东西。

编辑:这个答案是很久以前发布的，htmlDecode函数引入了一个XSS漏洞。它已被修改，将临时元素从div改为textarea，减少XSS的机会。但是现在，我鼓励您像其他回答中建议的那样使用DOMParser API。

我使用这些函数:

function htmlEncode(value){
  // Create a in-memory element, set its inner text (which is automatically encoded)
  // Then grab the encoded contents back out. The element never exists on the DOM.
  return $('<textarea/>').text(value).html();
}

function htmlDecode(value){
  return $('<textarea/>').html(value).text();
}

基本上，textarea元素是在内存中创建的，但它永远不会追加到文档中。

在htmlEncode函数上，我设置了元素的innerText，并检索编码的innerHTML;在htmlDecode函数上，我设置了元素的innerHTML值，并检索了innerText。

在这里查看一个正在运行的示例。

对于那些喜欢纯javascript的人，这里是我成功使用的方法:

function escapeHTML (str)
{
    var div = document.createElement('div');
    var text = document.createTextNode(str);
    div.appendChild(text);
    return div.innerHTML;
}

<script>
String.prototype.htmlEncode = function () {
    return String(this)
        .replace(/&/g, '&amp;')
        .replace(/"/g, '&quot;')
        .replace(/'/g, '&#39;')
        .replace(/</g, '&lt;')
        .replace(/>/g, '&gt;');

}

var aString = '<script>alert("I hack your site")</script>';
console.log(aString.htmlEncode());
</script>

将输出:<script>alert("I hack your site")</script>

. htmlencode()一旦定义，就可以在所有字符串上访问。

Prototype内置了String类。所以如果你正在使用/计划使用Prototype，它会像这样做:

'<div class="article">This is an article</div>'.escapeHTML();
// -> "&lt;div class="article"&gt;This is an article&lt;/div&gt;"

我在我的域\用户字符串中遇到了一些反斜杠问题。

我把这个加到了安特洛皮克的答案的其他逃脱中

.replace(/\\/g, '\')

我在这里找到了: 如何在JavaScript中逃脱反斜杠?