デコード＆amp; JavaScriptに戻る

次のような文字列があります

var str = 'One & two & three';

WebサーバーによってHTMLにレンダリングされます。それらの文字列を

'One & two & three'

現在、それは私がやっていることです（jQueryの助けを借りて）：

$(document.createElement('div')).html('{{ driver.person.name }}').text()

しかし、私はそれを間違っていると不安を感じています。私が試してみました

unescape("&")

しかし、機能していないようで、decodeURI / decodeURIComponentも機能しません。

他にもっとネイティブでエレガントな方法がありますか？

JavaScriptからHTML（テキストなど）を解釈するためのより近代的なオプションは、DOMParserAPIのHTMLサポートです（ここMDNを参照）。これにより、ブラウザのネイティブHTMLパーサーを使用して、文字列をHTMLドキュメントに変換できます。2014年後半以降、すべての主要ブラウザの新しいバージョンでサポートされています。

一部のテキストコンテンツをデコードするだけの場合は、それをドキュメント本文の唯一のコンテンツとして配置し、ドキュメントを解析して、そのコンテンツを引き出し.body.textContentます。

var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

私たちはで見ることができるためにドラフト仕様DOMParser JavaScriptが解析された文書が使用できないため、我々は、セキュリティ上の懸念なしに、このテキスト変換を行うことができますので、。

parseFromString(str, type)この方法は、に応じて、これらの手順を実行する必要があります種類：

• "text/html"

  strをで解析しHTML parser、新しく作成されたを返しDocumentます。

  スクリプトフラグは「無効」に設定する必要があります。

  注意

  script要素は実行不可能とnoscriptマークされ、コンテンツはマークアップとして解析されます。

これはこの質問の範囲を超えていますが、解析されたDOMノード自体（テキストコンテンツだけでなく）を取得してライブドキュメントDOMに移動する場合、スクリプトが再度有効になる可能性があることに注意してください。セキュリティ上の懸念があります。まだ調べていないので注意してください。

エンコードされたすべてのHTMLエンティティをデコードする必要があり&ますか？

処理する必要があるだけなら、&これを行うことができます：

var decoded = encoded.replace(/&/g, '&');

すべてのHTMLエンティティをデコードする必要がある場合は、jQueryなしで実行できます。

var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

以下のマークのコメントに注意してください。この回答の以前のバージョンのセキュリティホールを強調し、XSSの潜在的な脆弱性を軽減するためでtextareaはなく、使用することdivを推奨しています。これらの脆弱性は、jQueryまたはプレーンJavaScriptを使用しているかどうかに関係なく存在します。

Matthias Bynensには、このためのライブラリがあります。https：//github.com/mathiasbynens/he

例：

console.log(
    he.decode("Jörg &amp Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"

要素のHTMLコンテンツを設定して、そのテキストコンテンツを読み返すハックよりも、この方法をお勧めします。このようなアプローチは機能しますが、信頼できないユーザー入力で使用すると、一見危険であり、XSSの機会をもたらします。

ライブラリにロードするのに本当に耐えられない場合は、ほぼ同じ質問に対するこの回答でtextarea説明されているハックを使用できます。これは、提案されているさまざまな類似のアプローチとは異なり、私が知っているセキュリティホールはありません。

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 & 2')); // '1 & 2'

しかし、リンクされた回答に記載されている、この問題と同様のアプローチに影響を与えるセキュリティの問題に注意してください！このアプローチはハックであり、aの許可されるコンテンツtextarea（または特定のブラウザーのバグ）に対する将来の変更により、ある日突然XSSホールが存在することに依存するコードにつながる可能性があります。

var htmlEnDeCode = (function() {
    var charToEntityRegex,
        entityToCharRegex,
        charToEntity,
        entityToChar;

    function resetCharacterEntities() {
        charToEntity = {};
        entityToChar = {};
        // add the default set
        addCharacterEntities({
            '&'     :   '&',
            '>'      :   '>',
            '&lt;'      :   '<',
            '&quot;'    :   '"',
            '&#39;'     :   "'"
        });
    }

    function addCharacterEntities(newEntities) {
        var charKeys = [],
            entityKeys = [],
            key, echar;
        for (key in newEntities) {
            echar = newEntities[key];
            entityToChar[key] = echar;
            charToEntity[echar] = key;
            charKeys.push(echar);
            entityKeys.push(key);
        }
        charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
        entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
    }

    function htmlEncode(value){
        var htmlEncodeReplaceFn = function(match, capture) {
            return charToEntity[capture];
        };

        return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
    }

    function htmlDecode(value) {
        var htmlDecodeReplaceFn = function(match, capture) {
            return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
        };

        return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
    }

    resetCharacterEntities();

    return {
        htmlEncode: htmlEncode,
        htmlDecode: htmlDecode
    };
})();

これはExtJSソースコードからです。

element.innerText トリックも行います。

Lodash unescape /エスケープ関数を使用できますhttps://lodash.com/docs/4.17.5#unescape

import unescape from 'lodash/unescape';

const str = unescape('fred, barney, & pebbles');

strは 'fred, barney, & pebbles'

あなたがそれを探している場合のために、私のように-一方、素敵で安全なJQueryメソッドがあります。

https://api.jquery.com/jquery.parsehtml/

あなたはf.exすることができます。これをコンソールに入力します。

var x = "test &";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

したがって、$。parseHTML（x）は配列を返します。テキスト内にHTMLマークアップがある場合、array.lengthは1より大きくなります。

jQueryがエンコードしてデコードします。ただし、divではなく、textareaタグを使用する必要があります。

var str1 = 'One & two & three';
var str2 = "One & two & three";
  
$(document).ready(function() {
   $("#encoded").text(htmlEncode(str1)); 
   $("#decoded").text(htmlDecode(str2));
});

function htmlDecode(value) {
  return $("<textarea/>").html(value).text();
}

function htmlEncode(value) {
  return $('<textarea/>').text(value).html();
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>

<div id="encoded"></div>
<div id="decoded"></div>

最初に<span id="decodeIt" style="display:none;"></span>体のどこかに作成します

次に、innerHTMLとしてデコードされる文字列をこれに割り当てます。

document.getElementById("decodeIt").innerHTML=stringtodecode

最後に、

stringtodecode=document.getElementById("decodeIt").innerText

全体的なコードは次のとおりです。

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

一般的なものをキャッチするJavaScriptソリューション：

var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

これはhttps://stackoverflow.com/a/4835406/2738039の逆です

ワンラインの人のために：

const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;

console.log(htmlDecode('Complicated - Dimitri Vegas & Like Mike'));

質問は出所を特定していませんxが、可能であれば、悪意のある（または単に予想外の）アプリケーションからの入力から防御することは理にかなっています。たとえばx、の値があるとします&amp; <script>alert('hello');</script>。jQueryでこれを処理する安全で簡単な方法は次のとおりです。

var x    = "&amp; <script>alert('hello');</script>";
var safe = $('<div />').html(x).text();

// => "& alert('hello');"

https://gist.github.com/jmblog/3222899で見つかります。いくつかの代替案よりも短くなくても、少なくとも同じくらい短く、XSSに対する防御を提供するので、このソリューションの使用を避ける多くの理由がわかりません。

（私は元々これをコメントとして投稿しましたが、同じスレッドでの後続のコメントが私にそうするように要求したので、それを回答として追加しています）。

JSON配列から＆を削除するためにあらゆることを試みました。上記の例はありませんが、https：//stackoverflow.com/users/2030321/chrisは優れたソリューションを提供してくれて、問題を解決することができました。

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

JSONデータを配列にプルするモーダルウィンドウに挿入する方法がわからなかったので、使用しませんでしたが、例に基づいてこれを試しましたが、うまくいきました。

var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&", "&"));

シンプルで機能するので気に入っていますが、なぜ広く使われていないのかはわかりません。hi＆lowを検索して、簡単な解決策を見つけました。私は構文の理解を求め続けていますが、これを使用するリスクがある場合は。まだ何も見つかりません。