Décoder & retour & en JavaScript

J'ai des chaînes de caractères comme 

var str = 'One & two & three';

rendu en HTML par le serveur web. J'ai besoin de transformer ces chaînes en 

'One & two & three'

Actuellement, c'est ce que je suis en train de faire (avec l'aide de jQuery):

$(document.createElement('div')).html('{{ driver.person.name }}').text()

Mais j'ai un sentiment troublant que je me suis fais mal.
J'ai essayé 

unescape("&")

mais il ne semble pas fonctionner, ni ne decodeURI/decodeURIComponent.

Existe d'autres, plus naturel et élégant moyens de le faire?

  • L'énorme fonction incluse dans cet article semble bien fonctionner: blogs.msdn.com/b/aoakley/archive/2003/11/12/49645.aspx je ne pense pas que c'est le plus intelligent de la solution, mais fonctionne.
  • Comme des chaînes de caractères contenant des entités HTML sont quelque chose de différent de escaped ou URI chaînes codées, ces fonctions ne fonctionnent pas.
  • notez que les nouvelles entités nommées ont été ajoutés à HTML (par exemple via l'HTML 5 spec) car cette fonction a été créé en 2003 par exemple, il ne reconnaît pas 𝕫. C'est un problème à l'évolution de la spec; en tant que tel, vous devez choisir un outil qui est maintenu à résoudre avec.
  • oui, je suis totalement d'accord! C'est une belle expérience pour en revenir à cette question après une couple d'années, merci!
InformationsquelleAutor Art | 2010-09-13
  1. 75

    Une option plus moderne pour interpréter le HTML (texte ou autre) à partir de JavaScript est le support HTML dans le DOMParser API (voir ici dans MDN). Cela vous permet d'utiliser le navigateur natif de l'analyseur HTML pour convertir une chaîne de caractères d'un document HTML. Il a été pris en charge dans les nouvelles versions de tous les navigateurs majeurs depuis la fin de 2014.

    Si nous voulons juste à décoder certains contenu du texte, on peut le placer comme le seul contenu dans un document de corps, d'analyser le document, et de sortir le son .body.textContent.

    JS:

    var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

    Nous pouvons le voir dans le projet de spécification pour DOMParser que JavaScript n'est pas activé pour le document analysé, afin que nous puissions effectuer cette conversion du texte sans soucis de sécurité.

    La parseFromString(str, type) méthode doit exécuter ces étapes, selon type:

    • "text/html"

      Analyser str avec un HTML parser, et le retour de la nouvellement créée Document.

      Le script drapeau doit être réglé sur "désactivé".

      NOTE

      script éléments marqués unexecutable et le contenu de noscript obtenir analysée comme une balise.

    C'est au-delà de la portée de cette question, mais veuillez noter que si vous prenez l'analyse nœuds eux-mêmes (et pas seulement de leur contenu texte) et en les déplaçant vers le document DOM, il est possible que leur script serait réactivé, et il pourrait y avoir des préoccupations en matière de sécurité. Je n'ai pas fait des recherches, merci donc de faire preuve de prudence.

    • une alternative pour NodeJs ?
    InformationsquelleAutor Jeremy
  2. 265

    Avez-vous besoin de décoder tous encodés en entités HTML ou tout simplement &amp; lui-même?

    Si vous avez seulement besoin de gérer &amp; ensuite, vous pouvez faire ceci:

    var decoded = encoded.replace(/&amp;/g, '&');

    Si vous avez besoin de décoder toutes les entités HTML, alors vous pouvez le faire sans jQuery:

    var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

    Veuillez prendre note de la Marque les commentaires ci-dessous qui mettent en évidence les failles de sécurité dans une version antérieure de cette réponse et de recommander à l'aide de textarea plutôt que div afin d'atténuer les effets potentiels de failles XSS. Ces vulnérabilités existent si vous utilisez jQuery ou de la plaine JavaScript.

    • Méfiez-vous! C'est potentiellement dangereux. Si encoded='<img src="bla" onerror="alert(1)">' puis l'extrait de code ci-dessus va afficher un message d'alerte. Cela signifie que si votre texte codé est à venir à partir de la saisie de l'utilisateur, du décodage avec cet extrait peut présenter une vulnérabilité XSS.
    • Je ne suis pas un expert en sécurité, mais il semble comme si vous définissez la div pour null après l'obtention de texte, l'alerte dans l'img n'est pas tiré - jsfiddle.net/Mottie/gaBeb/128
    • remarque assurez-vous que le navigateur qui a fonctionné pour vous, mais le alert(1) encore des incendies pour moi sur Chrome OS X. Si vous souhaitez un coffre-fort variante de ce hack, essayez de à l'aide d'un textarea.
    • +1 pour la simple regexp remplacer alternative pour un type d'entité html. N'utilisez cette option que si vous vous attendez html des données interpolées à partir de, disons, un python flacon application à un modèle.
    • Comment ce faire sur le Nœud de serveur?
    InformationsquelleAutor LukeH
  3. 38

    Matthias Bynens dispose d'une bibliothèque pour cela: https://github.com/mathiasbynens/he

    Exemple:

    console.log(
    he.decode("J&#246;rg &amp J&#xFC;rgen rocked to &amp; fro ")
);
//Logs "Jörg & Jürgen rocked to & fro"

    Je suggère favorisant plus de hacks avec le réglage d'un élément de contenu HTML, puis la lecture de son texte contenu. De telles approches peuvent travailler, mais qui sont faussement dangereux et de présenter XSS possibilités si elle est utilisée sur les autres entrées de l'utilisateur.

    Si vous ne pouvez vraiment pas supporter de les charger dans une bibliothèque, vous pouvez utiliser le textarea hack décrit dans cette réponse à un quasi-double question, qui, contrairement à de nombreux autres approches qui ont été proposées, n'a pas de trous de sécurité que je connais:

    function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 &amp; 2')); //'1 & 2'

    Mais de prendre note des questions de sécurité, affectant des approches similaires à celui-ci, que je liste dans la réponse! Cette approche est un hack, et les modifications futures de la teneur admissible d'un textarea (ou de bugs, en particulier les navigateurs) pourrait conduire à un code qui s'appuie sur elle tout à coup avoir une XSS trou un jour.

    • Matthias Bynens " bibliothèque he est absolument génial! Merci beaucoup pour la recommandation!
    InformationsquelleAutor Mark Amery
  4. 23
    var htmlEnDeCode = (function() {
var charToEntityRegex,
entityToCharRegex,
charToEntity,
entityToChar;
function resetCharacterEntities() {
charToEntity = {};
entityToChar = {};
//add the default set
addCharacterEntities({
'&amp;'     :   '&',
'&gt;'      :   '>',
'&lt;'      :   '<',
'&quot;'    :   '"',
'&#39;'     :   "'"
});
}
function addCharacterEntities(newEntities) {
var charKeys = [],
entityKeys = [],
key, echar;
for (key in newEntities) {
echar = newEntities[key];
entityToChar[key] = echar;
charToEntity[echar] = key;
charKeys.push(echar);
entityKeys.push(key);
}
charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
}
function htmlEncode(value){
var htmlEncodeReplaceFn = function(match, capture) {
return charToEntity[capture];
};
return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
}
function htmlDecode(value) {
var htmlDecodeReplaceFn = function(match, capture) {
return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
};
return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
}
resetCharacterEntities();
return {
htmlEncode: htmlEncode,
htmlDecode: htmlDecode
};
})();

    C'est à partir de ExtJS code source.

    • -1; ce qui ne parvient pas à gérer la grande majorité des entités nommées. Par exemple, htmlEnDecode.htmlDecode('&euro;') doit retourner '€', mais au lieu de cela renvoie '&euro;'.
    InformationsquelleAutor WaiKit Kung
  5. 16

    element.innerText également fait le tour.

    InformationsquelleAutor avg_joe
  6. 8

    Dans le cas où vous êtes à la recherche pour elle, comme moi, pendant ce temps il y a un bon et méthode JQuery.

    https://api.jquery.com/jquery.parsehtml/

    Vous pouvez f.ex. tapez ceci dans la console:

    var x = "test &amp;";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

    Donc $.parseHTML(x) retourne un tableau, et si vous avez des balises HTML dans votre texte, le tableau.longueur doit être supérieure à 1.

    InformationsquelleAutor cslotty
  7. 7

    Vous pouvez utiliser Lodash ne pas encoder /fonction d'échappement https://lodash.com/docs/4.17.5#unescape

    import unescape from 'lodash/unescape';
const str = unescape('fred, barney, &amp; pebbles');

    str deviendra 'fred, barney, & pebbles'

    InformationsquelleAutor I am L
  8. 6

    jQuery pour encoder et décoder pour vous. Cependant, vous devez utiliser une balise textarea, pas un div.

    JS:

    var str1 = 'One & two & three';
var str2 = "One &amp; two &amp; three";
$(document).ready(function() {
$("#encoded").text(htmlEncode(str1)); 
$("#decoded").text(htmlDecode(str2));
});
function htmlDecode(value) {
return $("<textarea/>").html(value).text();
}
function htmlEncode(value) {
return $('<textarea/>').text(value).html();
}

    HTML:

    <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>
<div id="encoded"></div>
<div id="decoded"></div>

    • -1 parce qu'il y a un (surprenant) trou de sécurité ici pour les anciennes versions de jQuery, certains sans doute encore un important utilisateur de base de ces versions détecter et évaluer concrètement les scripts dans le code HTML transmis à .html(). Ainsi, même à l'aide d'un textarea n'est pas suffisant pour assurer la sécurité ici, je propose ne pas utiliser jQuery pour cette tâche et de l'écriture de code équivalent avec la plaine API DOM. (Oui, ce vieux comportement par jQuery est folle et terrible.)
    • Je vous remercie pour cela. Cependant, la question de ne pas inclure l'obligation de vérifier l'injection de scripts. La question de la demande spécifiquement sur rendu au format html par le serveur web. Html du contenu enregistré sur un serveur web devrait probablement être validé pour l'injection de scripts avant de les enregistrer.
    InformationsquelleAutor Jason Williams
  9. 4

    D'abord créer un <span id="decodeIt" style="display:none;"></span> quelque part dans le corps

    Ensuite, attribuer la chaîne pour être décodé comme innerHTML à ceci:

    document.getElementById("decodeIt").innerHTML=stringtodecode

    Enfin,

    stringtodecode=document.getElementById("decodeIt").innerText

    Voici le code global:

    var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText
    • -1; c'est dangereusement précaire à utiliser sur les autres entrées. Par exemple, considérons ce qui se passe si stringtodecode contient quelque chose comme <script>alert(1)</script>.
    InformationsquelleAutor Infoglaze.com
  10. 2

    Pour une ligne de gars:

    const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;
console.log(htmlDecode('Complicated - Dimitri Vegas &amp; Like Mike'));
    InformationsquelleAutor Ninh Pham
  11. 1

    une solution d'activer javascript qui attrape la commune:

    var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

    c'est l'inverse de https://stackoverflow.com/a/4835406/2738039

    • Si vous utilisez map[c] || '' méconnu de ceux n'apparaît pas comme undefined
    • Une couverture très limitée; -1.
    • +1, plus est unescapeHtml(str){ var map = {amp: '&', lt: '<', le: '≤', gt: '>', ge: '≥', quot: '"', '#039': "'"} return str.replace(/&([^;]+);/g, (m, c) => map[c]|| '') }
    InformationsquelleAutor Peter Brandt
  12. 0

    J'ai tout essayé pour supprimer & à partir d'un tableau JSON. Aucun des exemples ci-dessus, mais https://stackoverflow.com/users/2030321/chris a donné une excellente solution qui m'a conduit à résoudre mon problème.

    var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

    Je n'ai pas utiliser, parce que je ne comprends pas comment l'insérer dans une fenêtre modale qui tirait les données JSON dans un tableau, mais je l'ai fait essayer cette base sur l'exemple, et cela a fonctionné:

    var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&amp;", "&"));

    Je l'aime parce que c'était simple, et ça fonctionne, mais vous ne savez pas pourquoi il n'est pas largement utilisé. Recherché hi & faible à trouver une solution simple.
    Je continue à rechercher la compréhension de la syntaxe, et si il n'y a aucun risque à l'utiliser. Je n'ai rien trouvé encore.

    InformationsquelleAutor Digexart