<p>【转义字符】HTML 字符实体&lt; &gt: &amp;等</p><p>在开发中遇到javascript从后台获取的url 会被转义,如:http://localhost:8080/Home/Index?a=14&amp;b=15&amp;c=123,想把它转成http://localhost:8080/Home/Index?a=14&b=15&c=123</p><p>转义分为escapeHTML和unescapeHTML,先看两个函数的实现。</p><pre class="brush:js;toolbar:false">/**
*@functionescapeHTML转义html脚本<>&"'
*@parama-
*字符串
*/
escapeHTML:function(a){
a=""+a;
returna.replace(/&/g,"&").replace(/</g,"<").replace(/>/g,">").replace(/"/g,""").replace(/'/g,"&apos;");;
},
/**
*@functionunescapeHTML还原html脚本<>&"'
*@parama-
*字符串
*/
unescapeHTML:function(a){
a=""+a;
returna.replace(/</g,"<").replace(/>/g,">").replace(/&/g,"&").replace(/"/g,'"').replace(/&apos;/g,"'");
},</pre><p>1,escapeHTML将< > & " '转成字符实体</p><p>使用场景:</p><p>(1)用户在页面中录入(比如输入框) <script>alert(2);</script>, js将该内容提交给后端保存</p><p>(2)显示时,后端将字符串返回前端;js接收到之后:</p><p>a, 使用escapeHTML,将字符串转为 &lt;script&gt;alert(2);&lt;/script&gt;此时,浏览器将能正确解析,因为浏览器接收到实体字符后,转成对应的尖括号等。</p><p>b, 不使用escapeHTML,浏览器一看到<,便认为是html标签的开始,直接把刚才的字符串当脚本执行了,这就是xss漏洞。</p><p>2,unescapeHTML将字符实体转成< > & " '</p><p>使用场景:</p><p>后端将已经转义后的内容显示到页面;比如&lt;script&gt;alert(2);&lt;/script&gt;</p><p>js收到后:</p><p>a,前端进行unescapeHTML,则可以直接dom操作,将标签显示到页面。</p><p>b,前端没有unescapeHTML,则原样输出<script>alert(2);</script>,但此时并没有执行。</p><p>转义字符:</p><p><img src="//file.outobe.com/0/202211/241437107583.png"/></p><p>提示:使用实体名而不是数字的好处是,名称易于记忆。不过坏处是,浏览器也许并不支持所有实体名称(对实体数字的支持却很好)。</p>