Wie entferne ich sicher HTML-Entitäten in JavaScript?

Entschlüsselung von HTML-Entitäten in JavaScript: Ein umfassender Leitfaden

Bei der Arbeit mit Webanwendungen ist es häufig erforderlich, bereits vorhandene HTML-Entitäten zu dekodieren aus verschiedenen Gründen verschlüsselt, beispielsweise aus Sicherheits- oder Kompatibilitätsgründen. In JavaScript kann die Notwendigkeit entstehen, HTML-Entitäten zu entsperren, insbesondere wenn Daten aus XML-RPC oder anderen Quellen abgerufen werden, die Zeichen für die Übertragung kodieren.

Ein häufiges Problem, das auftreten kann, ist, wenn Zeichenfolgen von einem XML- zurückgegeben werden. Das RPC-Backend enthält HTML-Entitäten. Wenn diese Zeichenfolgen jedoch mithilfe von JavaScript in HTML eingefügt werden, werden sie wörtlich und nicht als beabsichtigter HTML-Code gerendert. Dies weist darauf hin, dass die HTML-Entitäten über den XML-RPC-Kanal maskiert werden.

Zu vermeidende unsichere Dekodierungstechniken

Es wurden viele Methoden zum Demaskieren von HTML-Entitäten in JavaScript vorgeschlagen , aber einige von ihnen bergen erhebliche Sicherheitsrisiken. Zum Beispiel die folgende Funktion:

function htmlDecode(input) {
  return input.replace(/&amp;/g, "&").replace(/</g, "<").replace(/>/g, ">");
}

Obwohl diese Methode auf den ersten Blick zu funktionieren scheint, lässt sie potenzielle böswillige Absichten unberücksichtigt. Wenn die Eingabezeichenfolge ein HTML-Tag ohne Escapezeichen enthielt (z. B.

• Eine eingehende Analyse der Bootstrap-Listengruppenkomponente
• Detaillierte Erläuterung des JavaScript-Funktions-Curryings
• Vollständiges Beispiel für die Generierung von JS-Passwörtern und die Erkennung der Stärke (mit Download des Demo-Quellcodes)
• Angularjs integriert WeChat UI (weui)
• Wie man mit JavaScript schnell zwischen traditionellem Chinesisch und vereinfachtem Chinesisch wechselt und wie Websites den Wechsel zwischen vereinfachtem und traditionellem Chinesisch unterstützen – Javascript-Kenntnisse