3回答

Helenr

编辑：这个答案很久以前发布了，该htmlDecode函数引入了一个XSS漏洞。它已被修改，将临时元素从a&nbsp;div更改为textarea减少XSS机会。但是现在，我鼓励您按照其他anwswer的建议使用DOMParser API&nbsp;。我使用这些功能：function&nbsp;htmlEncode(value){ &nbsp;&nbsp;//&nbsp;Create&nbsp;a&nbsp;in-memory&nbsp;element,&nbsp;set&nbsp;its&nbsp;inner&nbsp;text&nbsp;(which&nbsp;is&nbsp;automatically&nbsp;encoded) &nbsp;&nbsp;//&nbsp;Then&nbsp;grab&nbsp;the&nbsp;encoded&nbsp;contents&nbsp;back&nbsp;out.&nbsp;The&nbsp;element&nbsp;never&nbsp;exists&nbsp;on&nbsp;the&nbsp;DOM. &nbsp;&nbsp;return&nbsp;$('<textarea/>').text(value).html();}function&nbsp;htmlDecode(value){ &nbsp;&nbsp;return&nbsp;$('<textarea/>').html(value).text();}基本上，div元素在内存中创建，但它永远不会附加到文档中。在htmlEncode函数上我设置了innerText元素，并检索编码的innerHTML;&nbsp;在htmlDecode函数上我设置innerHTML元素的值并innerText检索。在这里查看一个运行示例。

0 0

0