Как декодировать HTML-сущности с помощью jQuery?

Question

Как декодировать HTML-сущности с помощью jQuery?

308

Как использовать jQuery для декодирования HTML-объектов в строке?

EddyR 18 июль 2009, в 11:54

Источник

Теги:

javascript

jquery

html

17 ответов

147

Без jQuery:

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 &amp; 2')); // '1 & 2'

Это работает аналогично принятому ответу, но безопасно использовать с ненадежным вводом пользователя.

Проблемы безопасности при сходных подходах

Как отмеченный Майком Самуэлем, выполнение этого с <div> вместо <textarea> с ненадежным пользовательским вводом является уязвимостью XSS, даже если <div> никогда не добавляется в DOM:

function decodeEntities(encodedString) {
    var div = document.createElement('div');
    div.innerHTML = encodedString;
    return div.textContent;
}

// Shows an alert
decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">')

Однако эта атака невозможна против <textarea>, потому что нет элементов HTML, которые разрешены для содержимого <textarea>. Следовательно, любые HTML-теги, все еще присутствующие в "закодированной" строке, будут автоматически закодированы сущностью в браузере.

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

// Safe, and returns the correct answer
console.log(decodeEntities('<img src="nonexistent_image" onerror="alert(1337)">'))

Выполнение этого с помощью jQuery .html() и .val() вместо использования .innerHTML и .value также небезопасен * для некоторых версий jQuery, даже при использовании textarea. Это связано с тем, что более старые версии jQuery преднамеренно и явно оценивают сценарии, содержащиеся в строке, переданной в .html(). Следовательно, такой код показывает предупреждение в jQuery 1.8:

// Shows alert
$('<textarea>').html('<script>alert(1337)</script>').text()

_{* Благодаря Эру Пенкман за эту уязвимость.}

lucascaro 08 сен. 2009, в 19:49

5

Может быть хорошей идеей уничтожить текстовую область после извлечения ее значения: decodedString = textArea.value; textArea.remove(); return decodedString;
Werner 26 фев. 2016, в 07:05
2

Или только, если версия javascript действительно поддерживает remove (): if ('remove' in Element.prototype) textArea.remove();
Werner 26 фев. 2016, в 07:34
4

@Werner После выхода из функции больше не будет переменных, содержащих ссылку на нее, поэтому она будет автоматически удалена сборщиком мусора .
user2428118 12 янв. 2017, в 14:15
0

Я использую это в сочетании с .NET из-за нажатия кнопки, и по какой-то причине принятый ответ вызвал обратную передачу. Такого ответа не было, так что это лучший ответ для меня. Спасибо!
Snailer 14 июль 2017, в 09:53
0

@Snailer $("<div />").html(string).text() выполнит любой javascript в предоставленной строке , что, я подозреваю, является причиной вашей проблемы. Принятый ответ должен быть обновлен до этого.
jbowman 08 янв. 2018, в 22:34

Показать ещё 3 комментария

77

Как сказал Майк Самуэль, не используйте jQuery.html(). text() для декодирования html-объектов, поскольку это небезопасно.

Вместо этого используйте средство визуализации шаблонов, например Mustache.js или decodeEntities от Комментарий @VyvIT.

Underscore.js библиотека утилитных лент поставляется с методами escape и unescape, но они небезопасны для ввода пользователем:

_. escape (string)

_. unescape (строка)

Alan Hamlett 18 окт. 2012, в 02:20

2

Это на самом деле заслуживает гораздо больше голосов! Определенно мое предпочтительное решение. К настоящему времени они включили unescape в документы.
lethal-guitar 17 май 2013, в 13:01
0

Спасибо, я обновил свой ответ с прямой ссылкой на новые документы.
Alan Hamlett 23 май 2013, в 19:31
5

_.unescape("'") приводит к просто "& # 39;" вместо одиночной кавычки. Есть ли что-то, что я пропускаю или подчеркиваю, не скрываются ли коды сущностей HTML, как показано на: w3schools.com/tags/ref_entities.asp
Jason Axelson 02 дек. 2013, в 19:31
0

@JasonAxelson создал для этого github.com/jashkenas/underscore/issues/1370 .
Alan Hamlett 09 дек. 2013, в 10:17
6

Ошибка на github была закрыта как "Не исправлю"; это означает, что это решение не работает и не будет работать.
Igor Chubin 29 дек. 2013, в 11:03
1

Не используйте также _.unescape, потому что это также небезопасно. Этот _.unescape("<img src=fake onerror=alert('boo!')>") также активирует функцию JS. Попробуйте вместо этого: decodeEntities
VyvIT 11 дек. 2014, в 14:40
3

Вы говорите, что Underscore « escape и unescape методы ... небезопасны для пользовательского ввода» . Что ты хочешь этим сказать? Для меня это звучит чепухой, но, может быть, я что-то упустил - вы можете уточнить?
Mark Amery 10 июль 2015, в 20:03
2

@VyvIT Пробовал _.unescape("<img src=fake onerror=alert('boo!')>") (в Chrome / FF / IE). Но он не обнаружил никакого предупреждения. Пробовал в консоли, а также положить в мой файл JS тоже. Тот же результат.
Vivek Athalye 05 март 2017, в 13:58
0

+1 Хороший ответ. Это также работает на сервере.
Tzook 23 окт. 2017, в 09:17

Показать ещё 7 комментариев

27

Вопрос ограничивается "с помощью jQuery", но может помочь некоторым узнать, что код jQuery, приведенный в лучшем ответе, здесь ниже: это работает с jQuery или без него:

function decodeEntities(input) {
  var y = document.createElement('textarea');
  y.innerHTML = input;
  return y.value;
}

Rondo 10 май 2012, в 03:08

27

Я думаю, вы смешиваете текст и методы HTML. Посмотрите на этот пример, если вы используете внутренний HTML-код элемента как текст, вы получите декодированные HTML-теги (вторая кнопка). Но если вы используете их как HTML, вы получите представление в формате HTML (первая кнопка).

<div id="myDiv">
    here is a <b>HTML</b> content.
</div>
<br />
<input value="Write as HTML" type="button" onclick="javascript:$('#resultDiv').html($('#myDiv').html());" />
&nbsp;&nbsp;
<input value="Write as Text" type="button" onclick="javascript:$('#resultDiv').text($('#myDiv').html());" />
<br /><br />
<div id="resultDiv">
    Results here !
</div>

Первая кнопка пишет: здесь HTML.

Вторая кнопка пишет: - это контент <B> HTML </B> .

Кстати, вы можете увидеть плагин, который я нашел в плагин jQuery - HTML-декодирование и кодирование, который кодирует и декодирует строки HTML.

Canavar 18 июль 2009, в 14:31

1

попробуйте здесь: jsfiddle.net/YqQ3s
cawecoy 21 май 2013, в 17:24

15

Вы можете использовать библиотеку he, доступную из https://github.com/mathiasbynens/he

Пример:

console.log(he.decode("J&#246;rg &amp J&#xFC;rgen rocked to &amp; fro "));
// Logs "Jörg & Jürgen rocked to & fro"

I бросил вызов автору библиотеки по вопросу о том, есть ли какая-либо причина использовать эту библиотеку в клиентском коде в пользу <textarea> хак, предоставленный в других ответах здесь и в другом месте. Он дал несколько возможных оправданий:

Если вы используете node.js serverside, использование библиотеки для кодирования/декодирования HTML дает вам единственное решение, которое работает как на стороне клиента, так и на серверах.
В некоторых алгоритмах декодирования сущностей браузеров есть ошибки или отсутствует поддержка некоторых названных ссылок на символы. Например, Internet Explorer будет как декодировать, так и рендерить неразрывные пробелы ( ) правильно, но сообщать о них как обычные пробелы вместо неразрывных через свойство DOM element innerText, нарушая <textarea> hack (хотя и только второстепенным образом). Кроме того, IE 8 и 9 просто не поддерживают любую новую ссылку на именованные символы, добавленную в HTML 5. Автор он также проводит тестирование поддержки ссылок на именованные символы на http://mathias.html5.org/tests/html/named-character-references/. В IE 8 он сообщает более тысячи ошибок.

Если вы хотите изолировать от ошибок браузера, связанных с расшифровкой сущностей и/или иметь возможность обрабатывать полный диапазон имен символов, вы не можете уйти с помощью <textarea> hack; вам понадобится библиотека, подобная ему.
Он просто чертовски хорошо чувствует, что делает вещи таким образом, менее хаки.

Mark Amery 11 май 2014, в 20:00

2

+1 jQuery не решение для всего. Используйте правильный инструмент для работы.
Mathias Bynens 11 май 2014, в 19:56

9

закодировать:

$("<textarea/>").html('<a>').html();      // return '&lt;a&gt'

расшифровывает:

$("<textarea/>").html('&lt;a&gt').val()   // return '<a>'

user4064396 21 сен. 2014, в 21:51

3

уже есть ответ, который работает, и он почти идентичен этому. Нам не нужны повторяющиеся ответы
markasoftware 21 сен. 2014, в 21:48
3

Это правильный ответ. В ответе Тома используется элемент DIV, что делает этот ответ уязвимым для XSS.
Francisco Hodge 23 март 2016, в 19:39
1

Это лучший ответ для ясности.
Dan Randolph 28 фев. 2017, в 23:28

Показать ещё 1 комментарий

4

Использование

myString = myString.replace( /\&amp;/g, '&' );

Это проще всего сделать на стороне сервера, потому что, по-видимому, у JavaScript нет встроенной библиотеки для обработки сущностей, и я не нашел ничего в верхней части результатов поиска для различных фреймворков, расширяющих JavaScript.

Найдите "JavaScript-объекты HTML", и вы можете найти несколько библиотек для этой цели, но они, вероятно, будут построены вокруг вышеуказанной логики - замените сущность на сущность.

Dara 08 сен. 2009, в 06:31

1

Вы должны создать пользовательскую функцию для html-объектов:

function htmlEntities(str) {
return String(str).replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/>/g,'&gt;').replace(/"/g, '&quot;');
}

Ali 01 янв. 2013, в 11:30

0

Почему ты голосуешь?
Ali 23 май 2014, в 07:33
0

Понятия не имею, мне это так помогло +1 л-)
Szymon Toda 13 июнь 2014, в 06:53
0

возможно, он был отклонен, потому что он обрабатывает только некоторые объекты.
Jasen 11 янв. 2017, в 01:04
0

Первоначальный вопрос заключался в том, как декодировать объекты - это противоположно тому, что требуется; он кодирует чрезвычайно ограниченный набор символов в сущности. Как подсказка при голосовании говорит: «Этот ответ бесполезен». Я удивлен, что через 4 года он все еще имеет чистый положительный результат.
Stephen P 11 янв. 2017, в 01:40

Показать ещё 2 комментария

0

Вот еще одна проблема: Исключенная строка не выглядит читаемой при назначении входного значения

var string = _.escape("<img src=fake onerror=alert('boo!')>");
$('input').val(string);

Exapmle: https://jsfiddle.net/kjpdwmqa/3/

Lauris Kuznecovs 30 март 2016, в 08:20

0

Расширить класс String:

String::decode = ->
  $('<textarea />').html(this).text()

и использовать как метод:

"&lt;img src='myimage.jpg'&gt;".decode()

Sergeij Belevskij 20 фев. 2016, в 12:10

0

Для пользователей ExtJS, если у вас уже есть закодированная строка, например, когда возвращаемое значение библиотечной функции является содержимым innerHTML, рассмотрите эту функцию ExtJS:

Ext.util.Format.htmlDecode(innerHtmlContent)

Ilan 31 март 2015, в 17:37

0

Предположим, что у вас есть строка ниже.

Наши каюты Deluxe - теплые, уютные и удобный

var str = $("p").text(); // get the text from <p> tag
$('p').html(str).text();  // Now,decode html entities in your variable i.e

str и назначьте тег

.

что он.

Anirudh Sood 30 окт. 2014, в 06:42

0

Мне просто нужно было иметь HTML-объект charater (& dArr;) в качестве значения для кнопки HTML. Код HTML хорошо выглядит с самого начала в браузере:

<input type="button" value="Embed & Share  &dArr;" id="share_button" />

Теперь я добавляю переключатель, который также должен отображать charater. Это мое решение

$("#share_button").toggle(
    function(){
        $("#share").slideDown();
        $(this).attr("value", "Embed & Share " + $("<div>").html("&uArr;").text());
    }

Отображается & dArr; снова в кнопке. Надеюсь, это может помочь кому-то.

philipp 22 июнь 2010, в 21:14

0

Проще было бы использовать escape-последовательность Unicode (например, "Embed & Share \u21d1" ) или, что еще лучше, просто "Embed & Share ⇑" если вы можете обслуживать свой сценарий в UTF-8 (или UTF-16, или любая другая кодировка, которая поддерживает символ)). Использование элемента DOM для синтаксического анализа HTML-сущности просто для того, чтобы вставить произвольный символ Юникода в строку JavaScript, - это хитрый и творческий подход, который мог бы гордить Рубе Голдберга, но не является хорошей практикой; экранирование Юникода на языке специально для обработки этого варианта использования.
Mark Amery 11 май 2014, в 19:53

-3

Я думаю, что это полная противоположность выбранному решению.

var decoded = $("<div/>").text(encodedStr).html();

Pedro 27 авг. 2013, в 15:53

1

Извините, это кодирует это дальше!
Agent47DarkSoul 25 сен. 2013, в 06:23

-3

Самый простой способ - установить селектор классов для своих элементов, а затем использовать следующий код:

$(function(){
    $('.classSelector').each(function(a, b){
        $(b).html($(b).text());
    });
});

Больше не нужно!

У меня была эта проблема, и я нашел это ясное решение, и он отлично работает.

Hamidreza 23 янв. 2013, в 13:18

-3

Чтобы декодировать HTML-объекты с помощью jQuery, просто используйте эту функцию:

function html_entity_decode(txt){
    var randomID = Math.floor((Math.random()*100000)+1);
    $('body').append('<div id="random'+randomID+'"></div>');
    $('#random'+randomID).html(txt);
    var entity_decoded = $('#random'+randomID).html();
    $('#random'+randomID).remove();
    return entity_decoded;
}

Как использовать:

JavaScript:

var txtEncoded = "&aacute; &eacute; &iacute; &oacute; &uacute;";
$('#some-id').val(html_entity_decode(txtEncoded));

HTML:

<input id="some-id" type="text" />

Fred 22 авг. 2012, в 21:54

Ещё вопросы

Может быть хорошей идеей уничтожить текстовую область после извлечения ее значения: decodedString = textArea.value; textArea.remove(); return decodedString;
Или только, если версия javascript действительно поддерживает remove (): if ('remove' in Element.prototype) textArea.remove();
@Werner После выхода из функции больше не будет переменных, содержащих ссылку на нее, поэтому она будет автоматически удалена сборщиком мусора .
Я использую это в сочетании с .NET из-за нажатия кнопки, и по какой-то причине принятый ответ вызвал обратную передачу. Такого ответа не было, так что это лучший ответ для меня. Спасибо!
@Snailer $("<div />").html(string).text() выполнит любой javascript в предоставленной строке , что, я подозреваю, является причиной вашей проблемы. Принятый ответ должен быть обновлен до этого.
Это на самом деле заслуживает гораздо больше голосов! Определенно мое предпочтительное решение. К настоящему времени они включили unescape в документы.
Спасибо, я обновил свой ответ с прямой ссылкой на новые документы.
_.unescape("'") приводит к просто "& # 39;" вместо одиночной кавычки. Есть ли что-то, что я пропускаю или подчеркиваю, не скрываются ли коды сущностей HTML, как показано на: w3schools.com/tags/ref_entities.asp
@JasonAxelson создал для этого github.com/jashkenas/underscore/issues/1370 .
Ошибка на github была закрыта как "Не исправлю"; это означает, что это решение не работает и не будет работать.
Не используйте также _.unescape, потому что это также небезопасно. Этот _.unescape("<img src=fake onerror=alert('boo!')>") также активирует функцию JS. Попробуйте вместо этого: decodeEntities
Вы говорите, что Underscore « escape и unescape методы ... небезопасны для пользовательского ввода» . Что ты хочешь этим сказать? Для меня это звучит чепухой, но, может быть, я что-то упустил - вы можете уточнить?
@VyvIT Пробовал _.unescape("<img src=fake onerror=alert('boo!')>") (в Chrome / FF / IE). Но он не обнаружил никакого предупреждения. Пробовал в консоли, а также положить в мой файл JS тоже. Тот же результат.
+1 Хороший ответ. Это также работает на сервере.
+1 jQuery не решение для всего. Используйте правильный инструмент для работы.
уже есть ответ, который работает, и он почти идентичен этому. Нам не нужны повторяющиеся ответы
Это правильный ответ. В ответе Тома используется элемент DIV, что делает этот ответ уязвимым для XSS.
Понятия не имею, мне это так помогло +1 л-)
возможно, он был отклонен, потому что он обрабатывает только некоторые объекты.
Первоначальный вопрос заключался в том, как декодировать объекты - это противоположно тому, что требуется; он кодирует чрезвычайно ограниченный набор символов в сущности. Как подсказка при голосовании говорит: «Этот ответ бесполезен». Я удивлен, что через 4 года он все еще имеет чистый положительный результат.
Проще было бы использовать escape-последовательность Unicode (например, "Embed & Share \u21d1" ) или, что еще лучше, просто "Embed & Share ⇑" если вы можете обслуживать свой сценарий в UTF-8 (или UTF-16, или любая другая кодировка, которая поддерживает символ)). Использование элемента DOM для синтаксического анализа HTML-сущности просто для того, чтобы вставить произвольный символ Юникода в строку JavaScript, - это хитрый и творческий подход, который мог бы гордить Рубе Голдберга, но не является хорошей практикой; экранирование Юникода на языке специально для обработки этого варианта использования.
Извините, это кодирует это дальше!

tom · Accepted Answer · 2010-03-10T19-28-00.000Z

387

Лучший ответ

Примечание по безопасности:, используя этот ответ (сохраненный в его первоначальной форме ниже), может ввести lucascaro answer для объяснения уязвимостей в этом ответе и используйте подход либо из этого ответа, либо из Отметьте ответ Amery.

Собственно, попробуйте

var decoded = $("<div/>").html(encodedStr).text();

tom 10 март 2010, в 19:28

170

Не делайте этого с ненадежными данными. Многие браузеры загружают изображения и запускают связанные события, даже если узел не подключен к DOM. Попробуйте запустить $("<div/>").html('<img src="http://www.google.com/images/logos/ps_logo2.png" onload=alert(1337)>') . В Firefox или Safari выдает предупреждение.
Mike Samuel 16 март 2011, в 20:37
0

@ Майк, так что ты порекомендовал вместо этого? ваш ответ .replace () не годится, если вы не знаете, что заменяете ...
ekkis 29 май 2011, в 01:35
7

@ekkis, вам нужно удалить теги, прежде чем пытаться декодировать объекты. str.replace(/<\/?\w(?:[^"'>]|"[^"]*"|'[^']*')*>/g, "") или что-то подобное.
Mike Samuel 29 май 2011, в 05:07
2

Лучшая реализация (на мой взгляд), которая удаляет большинство тегов HTML (любезно предоставлено Майком) из входных данных, - это мой ответ на аналогичный вопрос . Он также не имеет накладных расходов jQuery, поэтому он вполне подходит для других сред.
Robert K 07 март 2012, в 21:41
5

@MichaelStum ваше редактирование здесь лишило законной силы и комментарий Майка Сэмюэля, и ответ, получивший следующий голос, и сделал это без фактического устранения уязвимости XSS для всех версий jQuery (как объяснено в ответе ниже). Было бы разумно добавить предупреждение безопасности к этому ответу (и я собираюсь это сделать); делать другие обсуждения на этой странице бессмысленными, но при этом не удается устранить дыру в безопасности, безусловно, нет!
Mark Amery 28 дек. 2016, в 16:08

Показать ещё 3 комментария