Use:

String.prototype.escapeHTML = function() {
        return this.replace(/&/g, "&")
                   .replace(/</g, "&lt;")
                   .replace(/>/g, "&gt;")
                   .replace(/"/g, "&quot;")
                   .replace(/'/g, "&#039;");
    }

示例:

var toto = "test<br>";
alert(toto.escapeHTML());

function htmlEscape(str){
    return str.replace(/[&<>'"]/g,x=>'&#'+x.charCodeAt(0)+';')
}

该解决方案使用字符的数字代码，例如<被&#60;取代。

虽然它的性能略差于使用映射的解决方案，但它具有以下优点:

不依赖于库或DOM 非常容易记住(你不需要记住5个HTML转义字符) 少的代码 相当快(仍然比5个链式替换快)

还有一种方法是完全放弃所有的字符映射，而是将所有不需要的字符转换为它们各自的数字字符引用，例如:

function escapeHtml(raw) {
    return raw.replace(/[&<>"']/g, function onReplace(match) {
        return '&#' + match.charCodeAt(0) + ';';
    });
}

注意，指定的RegEx只处理OP想要转义的特定字符，但是，根据转义HTML将要使用的上下文，这些字符可能是不够的。Ryan Grove的文章There's more to HTML转义than &， <， >， and”是关于这个主题的很好的阅读。根据您的上下文，为了避免XSS注入，很可能需要以下RegEx:

var regex = /[&<>"'` !@$%()=+{}[\]]/g

使用jQuery可以像这样:

var escapedValue = $('<div/>').text(value).html();

用jQuery转义HTML字符串

正如注释中提到的，双引号和单引号在此实现中保持原样。这意味着如果您需要将元素属性作为原始html字符串，则不应使用此解决方案。

反一:

function decodeHtml(text) {
    return text
        .replace(/&/g, '&')
        .replace(/&lt;/ , '<')
        .replace(/&gt;/, '>')
        .replace(/&quot;/g,'"')
        .replace(/&#039;/g,"'");
}

照章办事

OWASP建议“[e]除字母数字字符外，[您应该]转义所有ASCII值小于256的字符，使用&#xHH;格式(或命名实体，如果可用)，以防止切换[一个]属性。

这里有一个函数可以做到这一点，并有一个用法示例:

不安全功能 return键unsafe replace(。 - [u0000 - u002F \ u003A \ u0040 u005B - u0060 \ u007B \ u00FF] / g, c => '&#' + (' 1000 +。’这是c . charCodeAt(+ 0)。切片(四)?” ) 的 querySelector(“div”)的文件。innerHTML = <span class= + escapeHTML(' faeclass ' onclick="alert " ("test") + > +。’” escapeHTML(“<脚本>alert”(“attributes检查员”)\u003C/脚本>' ”< /跨越> < div > < / div >

您应该亲自验证我提供的实体范围，以验证函数的安全性。你也可以使用这个正则表达式，它具有更好的可读性，应该涵盖相同的字符代码，但在我的浏览器中性能下降了10%:

/(?![0-9A-for-z]）[\u0000-\u00FF]/g