我有一些JavaScript代码,用它来与XML-RPC后端进行通信。 XML-RPC返回以下格式的字符串:
<img src='myimage.jpg'>
然而,当我使用 JavaScript 将字符串插入 HTML 时,它们会直接渲染为字符串。我看不到图像,我只看到字面的字符串:
<img src='myimage.jpg'>
我猜测HTML在XML-RPC通道上被转义了。
我该如何在JavaScript中取消转义字符串?我尝试了这个页面上的技术,但没有成功:http://paulschreiber.com/blog/2008/09/20/javascript-how-to-unescape-html-entities/
还有哪些方法可以诊断问题?
这里给出的大多数答案有一个巨大的缺点:如果您要转换的字符串不可信,则最终可能会导致跨站点脚本攻击(XSS)漏洞。对于被接受的答案中的函数,请考虑以下内容:
htmlDecode("<img src='dummy' onerror='alert(/xss/)'>");
这里的字符串包含一个未转义的HTML标签,因此htmlDecode函数将实际运行字符串内指定的JavaScript代码而不是对其进行解码。
通过使用DOMParser可以避免这种情况,所有现代浏览器都支持它:
function htmlDecode(input) {
var doc = new DOMParser().parseFromString(input, "text/html");
return doc.documentElement.textContent;
}
console.log( htmlDecode("<img src='myimage.jpg'>") )
// "<img src='myimage.jpg'>"
console.log( htmlDecode("<img src='dummy' onerror='alert(/xss/)'>") )
// ""这个函数保证不会产生任何JavaScript代码的副作用。任何HTML标签都将被忽略,只返回文本内容。
兼容性注意:使用DOMParser解析HTML需要至少Chrome 30、Firefox 12、Opera 17、Internet Explorer 10、Safari 7.1或Microsoft Edge。因此,所有不支持此功能的浏览器都已经过期,截至2017年,唯一仍然偶尔可以看到的是旧版Internet Explorer和Safari版本(通常它们数量不足以引起注意)。
DOMParser 不支持 "text/html",而且仍有一些最新版本的浏览器甚至不支持 DOMParser.prototype.parseFromString()。根据您的参考资料,DOMParser 仍然是一项实验性技术,替代方法使用 innerHTML 属性,正如您在回答 我的方法 时指出的那样,它具有 XSS 漏洞(应由浏览器供应商修复)。 - PointedEars<script>标签没有被执行并不是一种安全机制,这个规则仅仅是避免了设置innerHTML可能会导致同步脚本运行的棘手的时间问题。清理HTML代码是一个棘手的事情,而innerHTML甚至不尝试这样做——因为网页可能实际上想要设置内联事件处理程序。这根本不是为不安全的数据而设计的机制,就此结束。 - Wladimir Palant你需要解码所有编码的HTML实体吗,还是只需要处理&本身?
如果只需要处理&,则可以这样做:
var decoded = encoded.replace(/&/g, '&');
如果您需要解码所有HTML实体,则可以在不使用jQuery的情况下完成:
var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;
请注意Mark在下面发表的评论,强调了这个答案早期版本中的安全漏洞,并建议使用textarea而不是div来减轻潜在的XSS漏洞。无论您使用jQuery还是纯JavaScript,这些漏洞都存在。
encoded='<img src="bla" onerror="alert(1)">',那么上面的代码片段将会显示一个警报。这意味着,如果您的编码文本来自用户输入,使用此代码片段进行解码可能会导致XSS漏洞。 - Mark Ameryalert(1) 仍会弹出。如果您想要一种更安全的方法,请尝试使用 textarea(参见:https://dev59.com/o3I-5IYBdhLWcg3wVWpi#31350391)。 - Mark Amery<textarea>并不能防止所有浏览器中的XSS漏洞。输入</textarea><img src="bla" onerror="alert(1)">仍然存在问题。 - Wladimir Palant编辑: 你应该使用DOMParser API,就像Wladimir建议的那样,我修改了我的先前答案,因为发布的函数引入了安全漏洞。
以下片段是旧答案的代码,进行了小修改:使用textarea代替div可以减少XSS漏洞,但在IE9和Firefox中仍然存在问题。
function htmlDecode(input){
var e = document.createElement('textarea');
e.innerHTML = input;
// handle case of empty input
return e.childNodes.length === 0 ? "" : e.childNodes[0].nodeValue;
}
htmlDecode("<img src='myimage.jpg'>");
// returns "<img src='myimage.jpg'>"
'不属于HTML 4实体!请参考http://www.w3.org/TR/html4/sgml/entities.html和http://fishbowl.pastiche.org/2003/07/01/the_curse_of_apos/。 - Christian C. Salvadó解析JavaScript中的HTML文本和其他内容的一种更现代化的选项是使用DOMParser API中的HTML支持(请参见MDN上的此处)。这使您能够使用浏览器的原生HTML解析器将字符串转换为HTML文档。自2014年末以来,该功能已得到所有主要浏览器新版本的支持。
如果我们只想解码某些文本内容,我们可以将其作为唯一内容放入文档正文中,解析文档,然后提取其 .body.textContent。
var encodedStr = 'hello & world';
var parser = new DOMParser;
var dom = parser.parseFromString(
'<!doctype html><body>' + encodedStr,
'text/html');
var decodedString = dom.body.textContent;
console.log(decodedString);根据 DOMParser 草案规范,我们可以看到 JavaScript 未启用于解析文档中,因此我们可以在不涉及安全问题的情况下执行这种文本转换。
parseFromString(str, type)方法必须按照以下步骤运行:type 可能有:
"text/html"使用
HTML 解析器解析 str,并返回新创建的Document。脚本标记必须被设置为 "disabled"。
注意
script元素将被标记为不可执行,而noscript的内容将被解析为标记。
虽然超出了此问题的范围,请注意,如果您正在移动已解析的 DOM 节点本身(而不仅仅是它们的文本内容)到实时文档 DOM,那么它们的脚本可能会重新启用,并且可能存在安全隐患。 我没有调查过,请小心谨慎。
Matthias Bynens开发了一个相关库:https://github.com/mathiasbynens/he
示例:
console.log(
he.decode("Jörg & Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"
我建议优先考虑使用它而不是涉及设置元素的HTML内容然后读取其文本内容的方法。这些方法可能有效,但是如果在不受信任的用户输入上使用,则会具有欺骗性和XSS机会。
如果你真的不能忍受加载库,你可以使用在此答案中描述的textarea hack来解决。与已经提出的各种类似方法不同,我所知道的这种方法没有安全漏洞:
function decodeEntities(encodedString) {
var textArea = document.createElement('textarea');
textArea.innerHTML = encodedString;
return textArea.value;
}
console.log(decodeEntities('1 & 2')); // '1 & 2'
但请注意我在链接答案中列出的影响类似方法的安全问题!这种方法是一种黑客技巧,未来对
he非常棒!非常感谢您的推荐! - Pedro Afunction htmlDecode(value){
return $('<div/>').html(value).text();
}
htmlDecode()函数。import unescape from 'lodash/unescape';
const str = unescape('fred, barney, & pebbles');
str将变为'fred,barney和pebbles'
var htmlEnDeCode = (function() {
var charToEntityRegex,
entityToCharRegex,
charToEntity,
entityToChar;
function resetCharacterEntities() {
charToEntity = {};
entityToChar = {};
// add the default set
addCharacterEntities({
'&' : '&',
'>' : '>',
'<' : '<',
'"' : '"',
''' : "'"
});
}
function addCharacterEntities(newEntities) {
var charKeys = [],
entityKeys = [],
key, echar;
for (key in newEntities) {
echar = newEntities[key];
entityToChar[key] = echar;
charToEntity[echar] = key;
charKeys.push(echar);
entityKeys.push(key);
}
charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
}
function htmlEncode(value){
var htmlEncodeReplaceFn = function(match, capture) {
return charToEntity[capture];
};
return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
}
function htmlDecode(value) {
var htmlDecodeReplaceFn = function(match, capture) {
return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
};
return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
}
resetCharacterEntities();
return {
htmlEncode: htmlEncode,
htmlDecode: htmlDecode
};
})();
这是来自 ExtJS 源代码。
htmlEnDecode.htmlDecode('€')应该返回'€',但它却返回了'€'。 - Mark Amery关键是利用浏览器的能力解码特殊的HTML字符,但不允许浏览器执行结果,就像实际的html一样...该函数使用正则表达式逐个识别和替换编码的HTML字符。
function unescapeHtml(html) {
var el = document.createElement('div');
return html.replace(/\&[#0-9a-z]+;/gi, function (enc) {
el.innerHTML = enc;
return el.innerText
});
}
/\&#?[0-9a-z]+;/gi更紧密地匹配,因为#只有在第二个字符出现时才会出现。 - TheAtomicOptionelement.innerText也可以起到同样的作用。
targetElement = document.querySelector('.target'); targetElement.innerHTML = targetElement.textContent; - undefined
escape或URI编码字符串不同,因此这些函数无法使用。 - Marcel Korpel