就像Mike Samuel说的，不要使用jQuery.html().text()来解码html实体，因为这是不安全的。

相反，使用模板渲染器，如Mustache.js或decodeEntities从@VyvIT的评论。

js实用带库提供了escape和unescape方法，但它们对用户输入不安全:

_.escape（string）

_.unescape（string）

假设下面有String。

我们的豪华客舱温暖，舒适&舒适的

var str = $("p").text(); // get the text from <p> tag
$('p').html(str).text();  // Now,decode html entities in your variable i.e 

STR和赋值回给标签。 就是这样。

对于ExtJS用户，如果你已经有了编码的字符串，例如当一个库函数的返回值是innerHTML内容时，考虑这个ExtJS函数:

Ext.util.Format.htmlDecode(innerHtmlContent)

这里还有一个问题: 转义字符串分配给输入值时看起来不可读

var string = _.escape("<img src=fake onerror=alert('boo!')>");
$('input').val(string);

Exapmle: https://jsfiddle.net/kjpdwmqa/3/

或者，也有一个库。

在这里,https://cdnjs.com/libraries/he

npm install he                 //using node.js

<script src="js/he.js"></script>  //or from your javascript directory

用法如下…

//to encode text 
he.encode('© Ande & Nonso® Company LImited 2018');  

//to decode the 
he.decode('© Ande & Nonso® Company Limited 2018');

欢呼。

编码:

$（“<textarea/>”）.html（'<a>'）.html（）; // 返回 '&lt;a&gt' <script src=“https://cdnjs.cloudflare.com/ajax/libs/jquery/3.3.1/jquery.min.js”></script> <textarea/>

解码:

$（“<textarea/>”）.html（'&lt;a&gt'）.val（） // return '<a>' <script src=“https://cdnjs.cloudflare.com/ajax/libs/jquery/3.3.1/jquery.min.js”></script> <textarea/>