Decodificar & amp; volver a & en JavaScript

Tengo cuerdas como

var str = 'One & two & three';

renderizado en HTML por el servidor web. Necesito transformar esas cadenas en

'One & two & three'

Actualmente, eso es lo que estoy haciendo (con la ayuda de jQuery):

$(document.createElement('div')).html('{{ driver.person.name }}').text()

Sin embargo, tengo la inquietante sensación de que lo estoy haciendo mal. Yo he tratado

unescape("&")

pero no parece funcionar, tampoco decodeURI / decodeURIComponent.

¿Hay alguna otra forma más nativa y elegante de hacerlo?

Una opción más moderna para interpretar HTML (texto y otros) desde JavaScript es el soporte HTML en la DOMParserAPI ( ver aquí en MDN ). Esto le permite utilizar el analizador HTML nativo del navegador para convertir una cadena en un documento HTML. Ha sido compatible con las nuevas versiones de todos los principales navegadores desde finales de 2014.

Si solo queremos decodificar algún contenido de texto, podemos ponerlo como el único contenido en el cuerpo de un documento, analizar el documento y extraerlo .body.textContent.

var encodedStr = 'hello & world';

var parser = new DOMParser;
var dom = parser.parseFromString(
    '<!doctype html><body>' + encodedStr,
    'text/html');
var decodedString = dom.body.textContent;

console.log(decodedString);

Podemos ver en el borrador de la especificaciónDOMParser que JavaScript no está habilitado para el documento analizado, por lo que podemos realizar esta conversión de texto sin problemas de seguridad.

El parseFromString(str, type)método debe ejecutar estos pasos, según el tipo :

• "text/html"

  Analiza str con an HTML parsery devuelve el recién creado Document.

  El indicador de secuencias de comandos debe establecerse en "deshabilitado".

  NOTA

  scriptlos elementos se marcan como no ejecutables y el contenido de noscriptse analiza como marcado.

Está más allá del alcance de esta pregunta, pero tenga en cuenta que si toma los nodos DOM analizados (no solo su contenido de texto) y los mueve al DOM del documento en vivo, es posible que sus scripts se vuelvan a habilitar, y podría Ser preocupaciones de seguridad. No lo he investigado, así que tenga cuidado.

¿Necesita decodificar todas las entidades HTML codificadas o solo a &sí mismo?

Si solo necesita manejar &, puede hacer esto:

var decoded = encoded.replace(/&/g, '&');

Si necesita decodificar todas las entidades HTML, puede hacerlo sin jQuery:

var elem = document.createElement('textarea');
elem.innerHTML = encoded;
var decoded = elem.value;

Tome nota de los comentarios de Mark a continuación que destacan los agujeros de seguridad en una versión anterior de esta respuesta y recomiendan usar en textarealugar de divmitigar las posibles vulnerabilidades de XSS. Estas vulnerabilidades existen si usa jQuery o JavaScript simple.

Matthias Bynens tiene una biblioteca para esto: https://github.com/mathiasbynens/he

Ejemplo:

console.log(
    he.decode("Jörg &amp Jürgen rocked to & fro ")
);
// Logs "Jörg & Jürgen rocked to & fro"

Sugiero favorecerlo sobre los hacks que implican configurar el contenido HTML de un elemento y luego volver a leer su contenido de texto. Dichos enfoques pueden funcionar, pero son engañosamente peligrosos y presentan oportunidades XSS si se utilizan en entradas de usuarios no confiables.

Si realmente no puede soportar cargar en una biblioteca, puede usar el textareatruco descrito en esta respuesta a una pregunta casi duplicada, que, a diferencia de varios enfoques similares que se han sugerido, no tiene agujeros de seguridad que conozca:

function decodeEntities(encodedString) {
    var textArea = document.createElement('textarea');
    textArea.innerHTML = encodedString;
    return textArea.value;
}

console.log(decodeEntities('1 & 2')); // '1 & 2'

¡Pero tome nota de los problemas de seguridad, que afectan enfoques similares a este, que enumero en la respuesta vinculada! Este enfoque es un truco, y los cambios futuros en el contenido permitido de un textarea(o errores en navegadores particulares) podrían conducir a un código que depende de que de repente tenga un agujero XSS algún día.

var htmlEnDeCode = (function() {
    var charToEntityRegex,
        entityToCharRegex,
        charToEntity,
        entityToChar;

    function resetCharacterEntities() {
        charToEntity = {};
        entityToChar = {};
        // add the default set
        addCharacterEntities({
            '&'     :   '&',
            '>'      :   '>',
            '&lt;'      :   '<',
            '&quot;'    :   '"',
            '&#39;'     :   "'"
        });
    }

    function addCharacterEntities(newEntities) {
        var charKeys = [],
            entityKeys = [],
            key, echar;
        for (key in newEntities) {
            echar = newEntities[key];
            entityToChar[key] = echar;
            charToEntity[echar] = key;
            charKeys.push(echar);
            entityKeys.push(key);
        }
        charToEntityRegex = new RegExp('(' + charKeys.join('|') + ')', 'g');
        entityToCharRegex = new RegExp('(' + entityKeys.join('|') + '|&#[0-9]{1,5};' + ')', 'g');
    }

    function htmlEncode(value){
        var htmlEncodeReplaceFn = function(match, capture) {
            return charToEntity[capture];
        };

        return (!value) ? value : String(value).replace(charToEntityRegex, htmlEncodeReplaceFn);
    }

    function htmlDecode(value) {
        var htmlDecodeReplaceFn = function(match, capture) {
            return (capture in entityToChar) ? entityToChar[capture] : String.fromCharCode(parseInt(capture.substr(2), 10));
        };

        return (!value) ? value : String(value).replace(entityToCharRegex, htmlDecodeReplaceFn);
    }

    resetCharacterEntities();

    return {
        htmlEncode: htmlEncode,
        htmlDecode: htmlDecode
    };
})();

Esto es del código fuente ExtJS.

element.innerText También hace el truco.

Puede usar la función de escape / escape de Lodash https://lodash.com/docs/4.17.5#unescape

import unescape from 'lodash/unescape';

const str = unescape('fred, barney, & pebbles');

str se convertirá 'fred, barney, & pebbles'

En caso de que lo esté buscando, como yo, mientras tanto, hay un método JQuery agradable y seguro.

https://api.jquery.com/jquery.parsehtml/

Puedes f.ex. escribe esto en tu consola:

var x = "test &";
> undefined
$.parseHTML(x)[0].textContent
> "test &"

Entonces $ .parseHTML (x) devuelve una matriz, y si tiene un marcado HTML dentro de su texto, la longitud de la matriz será mayor que 1.

jQuery codificará y decodificará por usted. Sin embargo, debe usar una etiqueta textarea, no un div.

var str1 = 'One & two & three';
var str2 = "One & two & three";
  
$(document).ready(function() {
   $("#encoded").text(htmlEncode(str1)); 
   $("#decoded").text(htmlDecode(str2));
});

function htmlDecode(value) {
  return $("<textarea/>").html(value).text();
}

function htmlEncode(value) {
  return $('<textarea/>').text(value).html();
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.min.js"></script>

<div id="encoded"></div>
<div id="decoded"></div>

Primero crea un <span id="decodeIt" style="display:none;"></span> lugar en el cuerpo

A continuación, asigne la cadena que se decodificará como innerHTML a esto:

document.getElementById("decodeIt").innerHTML=stringtodecode

Finalmente,

stringtodecode=document.getElementById("decodeIt").innerText

Aquí está el código general:

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

Una solución de JavaScript que atrapa los más comunes:

var map = {amp: '&', lt: '<', gt: '>', quot: '"', '#039': "'"}
str = str.replace(/&([^;]+);/g, (m, c) => map[c])

Este es el reverso de https://stackoverflow.com/a/4835406/2738039

Para chicos de una línea:

const htmlDecode = innerHTML => Object.assign(document.createElement('textarea'), {innerHTML}).value;

console.log(htmlDecode('Complicated - Dimitri Vegas & Like Mike'));

La pregunta no especifica el origen de, xpero tiene sentido defender, si podemos, contra entradas maliciosas (o simplemente inesperadas, desde nuestra propia aplicación). Por ejemplo, supongamos que xtiene un valor de &amp; <script>alert('hello');</script>. Una forma segura y sencilla de manejar esto en jQuery es:

var x    = "&amp; <script>alert('hello');</script>";
var safe = $('<div />').html(x).text();

// => "& alert('hello');"

Encontrado a través de https://gist.github.com/jmblog/3222899 . No puedo ver muchas razones para evitar usar esta solución dado que es al menos tan corta, si no más corta que algunas alternativas y proporciona defensa contra XSS.

(Originalmente publiqué esto como un comentario, pero lo agrego como respuesta, ya que un comentario posterior en el mismo hilo solicitó que lo hiciera).

Intenté todo para eliminar & de una matriz JSON. Ninguno de los ejemplos anteriores, pero https://stackoverflow.com/users/2030321/chris dio una gran solución que me llevó a solucionar mi problema.

var stringtodecode="<B>Hello</B> world<br>";
document.getElementById("decodeIt").innerHTML=stringtodecode;
stringtodecode=document.getElementById("decodeIt").innerText

No lo usé, porque no entendía cómo insertarlo en una ventana modal que extraía datos JSON en una matriz, pero lo intenté en función del ejemplo, y funcionó:

var modal = document.getElementById('demodal');
$('#ampersandcontent').text(replaceAll(data[0],"&", "&"));

Me gusta porque era simple y funciona, pero no estoy seguro de por qué no se usa ampliamente. Busqué hola y bajo para encontrar una solución simple. Sigo buscando la comprensión de la sintaxis y si existe algún riesgo de usarla. No he encontrado nada todavía.