Как декодировать объекты HTML с помощью jQuery?

Question

Как декодировать объекты HTML с помощью jQuery?

метод и formmethod атрибуты содержания перечисляются атрибуты со следующими ключевыми словами и состояниями:

ключевое слово добирается , отображение на состояние ДОБИРАЕТСЯ, указывая, что HTTP ПОЛУЧАЕТ метод. ПОЛУЧИТЬ метод должен только запросить и получить данные и не должен иметь никакого другого эффекта.

сообщение ключевого слова , отображаясь на государственный пост, указывая на метод POST HTTP. Метод THE POST запрашивает, чтобы сервер принял, что данные отправленной формы обрабатываются, который может привести к объекту, добавляемому к базе данных, созданию нового ресурса веб-страницы, обновлению существующей страницы или всем упомянутым результатам.

диалоговое окно ключевого слова , отображаясь на диалоговое окно состояния, указывая, что представление формы предназначается для закрытия диалогового окна, в котором форма оказывается, если таковые имеются, и иначе не отправляет.

недопустимое значение по умолчанию значения для этих атрибутов является ПОЛУЧИТЬ состоянием

, Т.е. HTML-формы только поддерживают , ДОБИРАЮТСЯ и POST как методы Запроса HTTP. Обходное решение для этого должно туннелировать другие методы через POST при помощи скрытого поля формы, которое читается сервером и запросом, диспетчеризированным соответственно.

Однако ДОБИРАЮТСЯ , , POST, ПОМЕСТИЛ , и УДАЛЯЮТ , поддерживаются реализациями XMLHttpRequest (т.е. вызовы Ajax) во всех главных веб-браузерах (IE, Firefox, Safari, Chrome, Opera).

326

jquery javascript html

задан Mark Amery 10 July 2015 в 09:56

5 ответов

Я думаю, вы путаете текст и методы HTML. Посмотрите на этот пример: если вы используете внутренний HTML-код элемента в качестве текста, вы получите декодированные HTML-теги (вторая кнопка). Но если вы используете их как HTML, вы получите представление в формате HTML (первая кнопка).

<div id="myDiv">
    here is a <b>HTML</b> content.
</div>
<br />
<input value="Write as HTML" type="button" onclick="javascript:$('#resultDiv').html($('#myDiv').html());" />
&nbsp;&nbsp;
<input value="Write as Text" type="button" onclick="javascript:$('#resultDiv').text($('#myDiv').html());" />
<br /><br />
<div id="resultDiv">
    Results here !
</div>

Первая кнопка пишет: вот содержание HTML .

Вторая кнопка пишет: вот содержание HTML .

Кстати,

28

ответ дан 23 November 2019 в 00:50

Использовать

myString = myString.replace( /\&amp;/g, '&' );

Проще всего это сделать на стороне сервера, потому что, очевидно, в JavaScript нет собственной библиотеки для обработки сущностей, и я не нашел ее в верхней части результатов поиска для различные фреймворки, расширяющие JavaScript.

Поищите "объекты JavaScript HTML", и вы можете найти несколько библиотек для этой цели, но они '

4

ответ дан 23 November 2019 в 00:50

Без jQuery:

 функция decodeEntities (encodedString) {var textArea = document.createElement ('textarea'); textArea.innerHTML = encodedString; вернуть textArea.value; } console.log (decodeEntities ('1 & amp; 2')); // '1 & 2'

Это работает аналогично принятому ответу , но безопасно использовать с ненадежным пользовательским вводом.

Проблемы безопасности при аналогичных подходах

Как отмечалось в Майк Самуэль , делая это с помощью

вместо

  </code> с ненадежным вводом пользователя, это XSS-уязвимость, даже если <code> <div> </code> никогда не добавляется в DOM: </p>

<p></p><div class="snippet" data-lang="js" data-hide="false" data-console="true" data-babel="false"> <div class="snippet-code"> <pre class="snippet-code-js lang-js prettyprint-override"><code> функция decodeEntities (encodedString) {var div = document.createElement ('div'); div.innerHTML = encodedString; return div.textContent; } // Показывает предупреждение decodeEntities ('<img src = "nonexistent_image" onerror = "alert (1337)">') </code></pre> </div> </div> 

<p> Однако эта атака невозможна против <code> <textarea> </code>, потому что там не являются HTML-элементами, которые являются разрешенным содержимым <a href="https://developer.mozilla.org/en-US/docs/Web/HTML/Element/textarea" rel="noreferrer"><code> <textarea> </code></a>. Следовательно, любые HTML-теги, все еще присутствующие в 'закодированной' строке, будут автоматически закодированы браузером. </p>

<p></p><div class="snippet" data-lang="js" data-hide="false" data-console="true" data-babel="false"> <div class="snippet-code"> <pre class="snippet-code-js lang-js prettyprint-override"><code> function decodeEntities (encodedString) {var textArea = document.createElement ('textarea'); textArea.innerHTML = encodedString; вернуть textArea.value; } // Безопасно и возвращает правильный ответ console.log (decodeEntities ('<img src = "nonexistent_image" onerror = "alert (1337)">')) </code></pre> </div> </div> 

<blockquote>
 <p><strong> Предупреждение </strong>: это делается с помощью jQuery <a href="http://api.jquery.com/html/" rel="noreferrer"><code> .html () </code></a>  и <a href="http://api.jquery.com/val/" rel="noreferrer"><code>. val () </code></a>  вместо использования <a href="https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML" rel="noreferrer"><code> .innerHTML </code></a>  и <code> .value </code> также небезопасен * для некоторых версий jQuery, <strong> даже при использовании <code> текстового поля </code></strong>. Это связано с тем, что более старые версии jQuery <a href="https://github.com/jquery/jquery/blob/1.7/jquery.js#L6049" rel="noreferrer"> намеренно и явно оценивали сценарии </a>, содержащиеся в строке, переданной в <code> .html () </code>. Следовательно, такой код показывает предупреждение в jQuery 1.8: </p>
</blockquote>

<p></p><div class="snippet" data-lang="js" data-hide="false" data-console="true" data-babel="false"> <div class="snippet-code"> <pre class="snippet-code-js lang-js prettyprint-override"><code> // <! - CDATA // Показывает предупреждение $ ("<textarea>") .html ("<script> alert (1337); </script>" ) .text (); // -> </code></pre> <pre class="snippet-code-html lang-html prettyprint-override"><code> <script src = "https://ajax.googleapis.com/ajax/libs/jquery/1.2.3/jquery.min.js"> </script> </code></pre> </div> </div> 

<p><sub> * Благодаря <a href="https://stackoverflow.com/users/2377920/eru-penkman"> Эру Пенкман </a> за обнаружение этой уязвимости. </sub></p>                  </div>
                  <div class="votes-answer green">
                     
                     <div class="vote-count" itemprop="upvoteCount">201</div><i class="fa fa-thumbs-o-up"></i>
                  </div>
                  <div class="clearfix"></div>
                  <div class="action-time">
                     ответ дан                      <span title="23 November 2019 в 00:50 ">23 November 2019 в 00:50 </span>
                  </div>
                  <a class="s-link" href="/questions/194323/kak-dekodirovat-obekty-html-s-pomoschju-jquery#584" title="поделиться">поделиться</a>
               </div>
                              <div class="post-layout--right">
                  <div id="comments-569803">
                     <ul class="comments-list js-comments-list" data-remaining-comments-count="0" data-canpost="false" data-cansee="true" data-comments-unavailable="false" data-addlink-disabled="true">
      
                                         </ul>
                  </div>
               </div>
            </div>
         </div>
         
            
         <div class="answer" id="902665" itemscope="" itemtype="http://schema.org/Answer">
            <div class="answer-row">
               <div class="answer-text">
                  <div class="description" itemprop="text">
                     <p> Мне просто нужно было иметь символ объекта HTML (⇓) в качестве значения для кнопки HTML. HTML-код с самого начала выглядит хорошо в браузере: </p>

<pre><code><input type="button" value="Embed & Share  &dArr;" id="share_button" />
</code></pre>

<p> Теперь я добавлял переключатель, который также должен отображать символ. Это мое решение </p>

<pre><code>$("#share_button").toggle(
    function(){
        $("#share").slideDown();
        $(this).attr("value", "Embed & Share " + $("<div>").html("&uArr;").text());
    }
</code></pre>

<p>. На кнопке снова отображается ⇓. Надеюсь, это может кому-то помочь. </p>                  </div>
                  <div class="votes-answer">
                     
                     <div class="vote-count" itemprop="upvoteCount">0</div><i class="fa fa-thumbs-o-up"></i>
                  </div>
                  <div class="clearfix"></div>
                  <div class="action-time">
                     ответ дан                      <span title="23 November 2019 в 00:50 ">23 November 2019 в 00:50 </span>
                  </div>
                  <a class="s-link" href="/questions/194323/kak-dekodirovat-obekty-html-s-pomoschju-jquery#584" title="поделиться">поделиться</a>
               </div>
                              <div class="post-layout--right">
                  <div id="comments-902665">
                     <ul class="comments-list js-comments-list" data-remaining-comments-count="0" data-canpost="false" data-cansee="true" data-comments-unavailable="false" data-addlink-disabled="true">
      
                                         </ul>
                  </div>
               </div>
            </div>
         </div>
         
               <div style="margin-top: 20px;">
          Другие вопросы по тегам:          <div class="tags" style="display: inline-block; float: none;">
         <a href="/questions/tagged/jquery" class="tag"  title="jquery" rel="tag">jquery</a> <a href="/questions/tagged/javascript" class="tag"  title="javascript" rel="tag">javascript</a> <a href="/questions/tagged/html" class="tag"  title="html" rel="tag">html</a>       </div>
        <h3 class="m-t-20">Похожие вопросы:</h3>

        <div class="related-block">
          <ul>
                          <li><div class='votes-answer green'><span class='vote-count'>99</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/131610/skrytye-funkcii-javascript-zakrytyj" title="Скрытые функции JavaScript? [закрытый]">Скрытые функции JavaScript? [закрытый]</a> - 23 May 2017 02:10 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>70</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/82769/chto-takoe-javascript-versija-sleep" title="Что такое JavaScript-версия sleep ()?">Что такое JavaScript-версия sleep ()?</a> - 17 March 2018 18:15 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>61</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/90102/kak-ja-mogu-otformatirovat-chisla-v-vide-stroki-valjuty-v-javascript" title="Как я могу отформатировать числа в виде строки валюты в JavaScript?">Как я могу отформатировать числа в виде строки валюты в JavaScript?</a> - 26 May 2019 04:14 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>59</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/127174/chto-luchshij-sposob-sostoit-v-tom-chtoby-vynudit-sebja-k-osnovnomu-vi-zakrytyj" title="Что лучший способ состоит в том, чтобы вынудить себя к основному vi? [закрытый]">Что лучший способ состоит в том, чтобы вынудить себя к основному vi? [закрытый]</a> - 9 April 2009 03:44 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>55</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/87787/pochemu-by-ne-ispolzovat-tablicy-dlja-razmetki-v-html-zakryto" title="Почему бы не использовать таблицы для разметки в HTML? [закрыто]">Почему бы не использовать таблицы для разметки в HTML? [закрыто]</a> - 6 November 2018 00:07 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>44</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/82794/kakoj-sintaksis-javljaetsja-predpochtitelnym-dlja-opredelenija-perechislenij-v-javascript-zakryto" title="Какой синтаксис является предпочтительным для определения перечислений в JavaScript? [закрыто]">Какой синтаксис является предпочтительным для определения перечислений в JavaScript? [закрыто]</a> - 26 December 2018 06:38 </li>
                            <li><div class='votes-answer green'><span class='vote-count'>40</span> <i class="fa fa-thumbs-o-up"></i></div> <a href="/questions/89465/kak-luchshe-vsego-obnaruzhit-mobilnoe-ustrojstvo" title="Как лучше всего обнаружить мобильное устройство?">Как лучше всего обнаружить мобильное устройство?</a> - 24 April 2019 12:27 </li>
                          </ul>
        </div>

      </div>
   </div>
   
</div>      </div>
      <aside class="sidebar">
        <div class="awrap">

<script async src="https://yastatic.net/pcode-native/loaders/loader.js"></script>
<script>
    (yaads = window.yaads || []).push({
        id: "553274-2",
        render: "#id-553274-2"
    });
</script>
<div id="id-553274-2"></div>
          <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<ins class="adsbygoogle"
     style="display:inline-block;width:300px;height:600px"
     data-ad-client="ca-pub-2355906945027976"
     data-ad-slot="8038370725"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>


        </div>
      </aside>

    </div>
  </div>
  <footer class="footer">
    <div class="wrapper wrapper--sm">
      <div class="footer-navs-col">
        <div class="footer-nav footer-nav--menu">

          <div class="footer-coryright">© 2017 - 2020 Вопросы и ответы по программированию</div>
        </div>
        <div class="footer-nav footer-nav--catalog">
        </div>
      </div>
      <div class="footer-contacts-col">
        <div class="soc-widget-col">
        </div>
      </div>
      <div class="clearfix"></div>
    </div>

  </footer>

</div>

<script type="text/javascript" src="/js/ui/jquery-ui-1.8.16.custom.min.js"></script>
<script type="text/javascript" src="/js/ui/external/jquery.cookie.js"></script>

<script type="text/javascript" src="/js/versions/menu.ru.u1607887878.js"></script>


<script type="text/javascript" src="/js/jquery.fancybox.min.js"></script>
<script type="text/javascript" src="/js/slick.min.js"></script>
<script type="text/javascript" src="/js/jquery.maskedinput.min.js"></script>

<script type="text/javascript" src="/js/versions/scripts.ru.u1607887878.js"></script>


<!-- Yandex.Metrika counter --> <script type="text/javascript" > (function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)}; var z = null;m[i].l=1*new Date(); for (var j = 0; j < document.scripts.length; j++) {if (document.scripts[j].src === r) { return; }} k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)}) (window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym"); ym(90030325, "init", { clickmap:true, trackLinks:true, accurateTrackBounce:true, webvisor:true }); </script> <noscript><div><img src="https://mc.yandex.ru/watch/90030325" style="position:absolute; left:-9999px;" alt="" /></div></noscript> <!-- /Yandex.Metrika counter -->


<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-123993370-1"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-123993370-1');
</script>

</div>
<script type="application/ld+json">
  {
  "@context": "https://schema.org",
  "@type": "WebSite",
  "name": "Программирование - вопросы и ответы",
  "alternateName": "Программирование - вопросы и ответы",
  "url": "https://legkovopros.ru",
  "potentialAction": {
     "@type": "SearchAction",
     "target": "https://legkovopros.ru/search?search={search_term_string}",
     "query-input": "required name=search_term_string"
   }
}
{
  "@context": "https://schema.org",
  "@type": "Organization",
  "name": "Программирование - вопросы и ответы",
  "url": "https://legkovopros.ru",
  "logo": "https://legkovopros.ru/i/logo.png",
  "email": "info@legkovopros.ru",
   "telephone": ""

}




</script>
</body>
</html>

score 433 · Accepted Answer

Примечание по безопасности: использование этого ответа (сохраненного в исходной форме ниже) может привести к XSS-уязвимости в вашем приложении. Вы не должны использовать этот ответ. Прочтите ответ lucascaro для объяснения уязвимостей в этом ответе и используйте подход либо из этого ответа, либо вместо ответа Марка Эймери .

На самом деле, попробуйте

var decoded = $("<div/>").html(encodedStr).text();