要在JavaScript中转义HTML实体吗？

要在JavaScript中转义HTML实体吗？

编辑：
您应该按照Wladimir的建议使用DOMParser API，因为发布的函数引入了安全漏洞，所以我编辑了以前的答案。

以下代码片段是旧答案的代码，但进行了少量修改：使用a

textarea

代替a

div

可以减少XSS漏洞，但是在IE9和Firefox中仍然存在问题。

function htmlDepre(input){  var e = document.createElement('textarea');  e.innerHTML = input;  // handle case of empty input  return e.childNodes.length === 0 ? "" : e.childNodes[0].nodevalue;}htmlDepre("&lt;img src='myimage.jpg'&gt;"); // returns "<img src='myimage.jpg'>"

基本上，我以编程方式创建DOM元素，将编码的HTML分配给它的innerHTML，并从在innerHTML插入上创建的文本节点中检索nodevalue。由于它只是创建一个元素而从不添加它，因此不会修改网站HTML。

它可以跨浏览器（包括较旧的浏览器）运行，并接受所有HTML字符实体。

编辑：此代码的旧版本不适用于带有空白输入的IE，如jsFiddle（在IE中查看）所示。上面的版本适用于所有输入。

更新：看来这不适用于大字符串，并且还引入了一个 安全漏洞 ，请参阅注释。