Comment décoder en toute sécurité des entités HTML en JavaScript ?

Comment décoder avec succès des entités HTML en Javascript

Javascript interagit souvent avec des sources externes telles que les backends XML-RPC. Ces backends peuvent renvoyer des chaînes contenant des entités HTML telles que . Lorsque vous tentez d'incorporer ces chaînes dans HTML à l'aide de Javascript, elles peuvent s'afficher littéralement ou apparaître comme une entité HTML non échappée.

Pour supprimer efficacement ces entités HTML, l'utilisation de techniques provenant de sources externes peut s'avérer infructueuse. Tirez plutôt parti de la méthode DOMParser prise en charge dans les navigateurs modernes. Voici comment procéder :

function htmlDecode(input) {
  var doc = new DOMParser().parseFromString(input, "text/html");
  return doc.documentElement.textContent;
}

Exemple d'utilisation :

console.log(htmlDecode("<img src='myimage.jpg'>")); // "<img src='myimage.jpg'>"

console.log(htmlDecode("<img src='dummy' onerror='alert(/xss/)'>")); // ""

Cette méthode décode avec succès les entités HTML tout en empêchant l'exécution de code malveillant.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!