不使用jQuery:

function decodeEntities（encodedString） { var textArea = document.createElement（'textarea'）; textArea.innerHTML = encodedString; 返回文本区域值; } console.log（decodeEntities（'1 & 2'））;'1 & 2'

这与可接受的答案类似，但用于不受信任的用户输入是安全的。

类似方法中的安全问题

正如Mike Samuel所指出的，使用<div>而不是使用不受信任的用户输入的<textarea>是一个XSS漏洞，即使<div>从未添加到DOM:

函数decode (encodedString) { var div = document.createElement('div'); div.innerHTML = encodedString; 返回div.textContent; ｝ //显示警报 decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">')

但是，这种攻击对<textarea>是不可能的，因为没有允许<textarea>内容的HTML元素。因此，任何HTML标记仍然出现在'encoded'字符串中，浏览器将自动对其进行实体编码。

函数decode (encodedString) { var textArea = document.createElement(' textArea '); 文本区域。innerHTML = encodedString; 返回textArea.value; ｝ //安全，并返回正确的答案 console.log(decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">')))

警告:使用jQuery的.html()和.val()方法而不是使用. innerhtml和.value对于某些版本的jQuery来说也是不安全的，即使在使用textarea时也是如此。这是因为旧版本的jQuery会故意显式地计算传递给.html()的字符串中包含的脚本。因此，在jQuery 1.8中，这样的代码显示了一个警告:

<!-- CDATA 显示警报 $（“<textarea>”） .html（“<script>警报（1337）;</script>”） .text（）; //--> <script src=“https://ajax.googleapis.com/ajax/libs/jquery/1.2.3/jquery.min.js”></script>

*感谢Eru Penkman捕获此漏洞。

不使用jQuery:

function decodeEntities（encodedString） { var textArea = document.createElement（'textarea'）; textArea.innerHTML = encodedString; 返回文本区域值; } console.log（decodeEntities（'1 &amp; 2'））;'1 & 2'

这与可接受的答案类似，但用于不受信任的用户输入是安全的。

类似方法中的安全问题

正如Mike Samuel所指出的，使用<div>而不是使用不受信任的用户输入的<textarea>是一个XSS漏洞，即使<div>从未添加到DOM:

函数decode (encodedString) { var div = document.createElement('div'); div.innerHTML = encodedString; 返回div.textContent; ｝ //显示警报 decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">')

但是，这种攻击对<textarea>是不可能的，因为没有允许<textarea>内容的HTML元素。因此，任何HTML标记仍然出现在'encoded'字符串中，浏览器将自动对其进行实体编码。

函数decode (encodedString) { var textArea = document.createElement(' textArea '); 文本区域。innerHTML = encodedString; 返回textArea.value; ｝ //安全，并返回正确的答案 console.log(decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">')))

警告:使用jQuery的.html()和.val()方法而不是使用. innerhtml和.value对于某些版本的jQuery来说也是不安全的，即使在使用textarea时也是如此。这是因为旧版本的jQuery会故意显式地计算传递给.html()的字符串中包含的脚本。因此，在jQuery 1.8中，这样的代码显示了一个警告:

<!-- CDATA 显示警报 $（“<textarea>”） .html（“<script>警报（1337）;</script>”） .text（）; //--> <script src=“https://ajax.googleapis.com/ajax/libs/jquery/1.2.3/jquery.min.js”></script>

*感谢Eru Penkman捕获此漏洞。

假设下面有String。

我们的豪华客舱温暖，舒适&舒适的

var str = $("p").text(); // get the text from <p> tag
$('p').html(str).text();  // Now,decode html entities in your variable i.e 

STR和赋值回给标签。 就是这样。

Use

myString = myString.replace( /\&/g, '&' );

在服务器端最容易做到这一点，因为JavaScript显然没有用于处理实体的原生库，我也没有在搜索结果的顶部找到任何扩展JavaScript的框架。

搜索“JavaScript HTML实体”，你可能会找到一些用于此目的的库，但它们可能都是围绕上述逻辑构建的——逐个实体替换。

或者，也有一个库。

在这里,https://cdnjs.com/libraries/he

npm install he                 //using node.js

<script src="js/he.js"></script>  //or from your javascript directory

用法如下…

//to encode text 
he.encode('© Ande & Nonso® Company LImited 2018');  

//to decode the 
he.decode('© Ande & Nonso® Company Limited 2018');

欢呼。

这里还有一个问题: 转义字符串分配给输入值时看起来不可读

var string = _.escape("<img src=fake onerror=alert('boo!')>");
$('input').val(string);

Exapmle: https://jsfiddle.net/kjpdwmqa/3/