Décoder & amp; retour à & en JavaScript

J'ai des cordes comme

var str = 'One & two & three';

rendu en HTML par le serveur web. J'ai besoin de transformer ces cordes en

'One & two & three'

Actuellement, c'est ce que je fais (avec l'aide de jQuery):

$(document.createElement('div')).html('{{ driver.person.name }}').text()

Cependant, j'ai le sentiment troublant de me tromper. j'ai essayé

unescape("&")

mais cela ne semble pas fonctionner, ni decodeURI / decodeURIComponent.

Y a-t-il d'autres façons plus natives et élégantes de le faire?

Une option plus moderne pour interpréter HTML (texte et autres) à partir de JavaScript est le support HTML dans l' DOMParserAPI ( voir ici dans MDN ). Cela vous permet d'utiliser l'analyseur HTML natif du navigateur pour convertir une chaîne en un document HTML. Il est pris en charge dans les nouvelles versions de tous les principaux navigateurs depuis fin 2014.

Si nous voulons simplement décoder du contenu textuel, nous pouvons le mettre comme seul contenu dans un corps de document, analyser le document et retirer le son .body.textContent.

var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

Nous pouvons voir dans le projet de spécificationDOMParser que JavaScript n'est pas activé pour le document analysé, nous pouvons donc effectuer cette conversion de texte sans problèmes de sécurité.

La parseFromString(str, type)méthode doit exécuter ces étapes, selon le type :

• "text/html"

  Analyser str avec un HTML parseret renvoyer le nouveau Document.

  L'indicateur de script doit être défini sur "désactivé".

  REMARQUE

  scriptles éléments sont marqués comme non exécutables et le contenu de noscriptest analysé en tant que balisage.

Cela dépasse le cadre de cette question, mais veuillez noter que si vous prenez les nœuds DOM analysés eux-mêmes (pas seulement leur contenu texte) et les déplacez vers le document en direct DOM, il est possible que leur script soit réactivé, et il pourrait y avoir être des préoccupations de sécurité. Je n'ai pas fait de recherche, alors soyez prudent.

Avez-vous besoin de décoder toutes les entités HTML encodées ou juste &lui - même?

Si vous avez seulement besoin de gérer, &vous pouvez le faire:

var decoded = encoded.replace(/&/g, '&');

Si vous devez décoder toutes les entités HTML, vous pouvez le faire sans jQuery:

var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

Veuillez prendre note des commentaires de Mark ci-dessous qui mettent en évidence les failles de sécurité dans une version antérieure de cette réponse et recommandez d'utiliser textareaplutôt que divd'atténuer les vulnérabilités XSS potentielles. Ces vulnérabilités existent que vous utilisiez jQuery ou JavaScript simple.

Matthias Bynens a une bibliothèque pour cela: https://github.com/mathiasbynens/he

Exemple:

console.log(
    he.decode("Jörg &amp Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"

Je suggère de le préférer aux hacks impliquant de définir le contenu HTML d'un élément, puis de relire son contenu textuel. De telles approches peuvent fonctionner, mais sont trompeusement dangereuses et présentent des opportunités XSS si elles sont utilisées sur des entrées utilisateur non fiables.

Si vous ne pouvez vraiment pas supporter de charger dans une bibliothèque, vous pouvez utiliser le textareahack décrit dans cette réponse à une question presque en double, qui, contrairement à diverses approches similaires qui ont été suggérées, n'a pas de failles de sécurité à ma connaissance:

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 & 2')); // '1 & 2'

Mais prenez note des problèmes de sécurité, affectant des approches similaires à celle-ci, que j'énumère dans la réponse liée! Cette approche est un hack, et les modifications futures du contenu autorisé d'un textarea(ou des bogues dans les navigateurs en particulier) pourraient conduire à un code qui repose sur un soudain trou XSS un jour.

var htmlEnDeCode = (function() {
    var charToEntityRegex,
        entityToCharRegex,
        charToEntity,
        entityToChar;

    function resetCharacterEntities() {
        charToEntity = {};
        entityToChar = {};
        // add the default set
        addCharacterEntities({
            '&'     :   '&',
            '>'      :   '>',
            '&lt;'      :   '<',
            '&quot;'    :   '"',
            '&#39;'     :   "'"
        });
    }

    function addCharacterEntities(newEntities) {
        var charKeys = [],
            entityKeys = [],
            key, echar;
        for (key in newEntities) {
            echar = newEntities[key];
            entityToChar[key] = echar;
            charToEntity[echar] = key;
            charKeys.push(echar);
            entityKeys.push(key);
        }
        charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
        entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
    }

    function htmlEncode(value){
        var htmlEncodeReplaceFn = function(match, capture) {
            return charToEntity[capture];
        };

        return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
    }

    function htmlDecode(value) {
        var htmlDecodeReplaceFn = function(match, capture) {
            return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
        };

        return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
    }

    resetCharacterEntities();

    return {
        htmlEncode: htmlEncode,
        htmlDecode: htmlDecode
    };
})();

Ceci provient du code source ExtJS.

element.innerText fait aussi l'affaire.

Vous pouvez utiliser la fonction unescape / escape de Lodash https://lodash.com/docs/4.17.5#unescape

import unescape from 'lodash/unescape';

const str = unescape('fred, barney, & pebbles');

str deviendra 'fred, barney, & pebbles'

Dans le cas où vous le recherchez, comme moi - en attendant, il existe une méthode JQuery agréable et sûre.

https://api.jquery.com/jquery.parsehtml/

Vous pouvez f.ex. tapez ceci dans votre console:

var x = "test &";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

Donc $ .parseHTML (x) retourne un tableau, et si vous avez du balisage HTML dans votre texte, le tableau.length sera supérieur à 1.

jQuery va encoder et décoder pour vous. Cependant, vous devez utiliser une balise textarea, pas une div.

var str1 = 'One & two & three';
var str2 = "One & two & three";
  
$(document).ready(function() {
   $("#encoded").text(htmlEncode(str1)); 
   $("#decoded").text(htmlDecode(str2));
});

function htmlDecode(value) {
  return $("<textarea/>").html(value).text();
}

function htmlEncode(value) {
  return $('<textarea/>').text(value).html();
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>

<div id="encoded"></div>
<div id="decoded"></div>

Créez d'abord un <span id="decodeIt" style="display:none;"></span> endroit dans le corps

Ensuite, affectez la chaîne à décoder comme innerHTML à ceci:

document.getElementById("decodeIt").innerHTML=stringtodecode

Finalement,

stringtodecode=document.getElementById("decodeIt").innerText

Voici le code global:

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

une solution javascript qui attrape les plus courantes:

var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

c'est l'inverse de https://stackoverflow.com/a/4835406/2738039

Pour les gars d'une ligne:

const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;

console.log(htmlDecode('Complicated - Dimitri Vegas & Like Mike'));

La question ne précise pas l'origine de xmais il est logique de se défendre, si nous le pouvons, contre les entrées malveillantes (ou tout simplement inattendues, de notre propre application). Par exemple, supposons xque la valeur est &amp; <script>alert('hello');</script>. Un moyen sûr et simple de gérer cela dans jQuery est:

var x    = "&amp; <script>alert('hello');</script>";
var safe = $('<div />').html(x).text();

// => "& alert('hello');"

Trouvé via https://gist.github.com/jmblog/3222899 . Je ne vois pas beaucoup de raisons d'éviter d'utiliser cette solution étant donné qu'elle est au moins aussi courte, sinon plus courte que certaines alternatives et offre une défense contre XSS.

(J'ai initialement posté cela en tant que commentaire, mais je l'ajoute comme réponse, car un commentaire ultérieur dans le même fil m'a demandé de le faire).

J'ai tout essayé pour supprimer et d'un tableau JSON. Aucun des exemples ci-dessus, mais https://stackoverflow.com/users/2030321/chris a donné une excellente solution qui m'a amené à résoudre mon problème.

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

Je ne l'ai pas utilisé, car je ne comprenais pas comment l'insérer dans une fenêtre modale qui tirait des données JSON dans un tableau, mais j'ai essayé cela en fonction de l'exemple, et cela a fonctionné:

var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&", "&"));

Je l'aime parce que c'était simple et cela fonctionne, mais je ne sais pas pourquoi il n'est pas largement utilisé. Recherche hi & low pour trouver une solution simple. Je continue de chercher à comprendre la syntaxe et s'il y a un risque à l'utiliser. Je n'ai encore rien trouvé.