fix: 优化 escape 和 unescape 在解析某些特殊字符串时的潜在问题 (#2628)

* fix: 修复 escape 未转义 unicode 中 & 字符的问题

* chore: update

* fix: 优化 unescape 替换顺序，确保为 escape 替换的反向顺序

* chore: update

docs/laytpl/detail/demo.md

@@ -33,7 +33,7 @@
     <textarea id="ID-tpl-data">
 {
   "title": "Layui 常用组件",
-  "desc": "<a style=\"color:blue;\">一段带 HTML 内容的描述</a>",
+  "desc": "<a style=\"color:blue;\">一段带 HTML 的内容</a>",
   "list": [
     {
       "title": "弹层",

src/modules/laytpl.js

@@ -76,9 +76,9 @@
   var vars = {
     // 字符转义
     escape: function(html) {
-      var exp = /[<"'>]|&(?=#[a-zA-Z0-9]+)/g;
+      var exp = /[<"'>]|&(?=#?[a-zA-Z0-9]+)/g;
       if (html === undefined || html === null) return '';
-      html = ''+ html;
+      html += '';
       if (!exp.test(html)) return html;
       return html.replace(exp, function(str) {
         return '&#'+ str.charCodeAt(0) + ';';

src/modules/util.js

@@ -348,25 +348,24 @@ layui.define('jquery', function(exports) {
 
     // 转义 html
     escape: function(html){
-      var exp = /[<"'>]|&(?=#[a-zA-Z0-9]+)/g;
+      var exp = /[<"'>]|&(?=#?[a-zA-Z0-9]+)/g;
       if (html === undefined || html === null) return '';
 
       html += '';
       if (!exp.test(html)) return html;
 
-      return html.replace(/&(?!#?[a-zA-Z0-9]+;)/g, '&amp;')
+      return html.replace(/&(?=#?[a-zA-Z0-9]+;?)/g, '&amp;')
       .replace(/</g, '&lt;').replace(/>/g, '&gt;')
       .replace(/'/g, '&#39;').replace(/"/g, '&quot;');
     },
 
     // 还原转义的 html
     unescape: function(html){
-      if(html === undefined || html === null) html = '';
+      if (html === undefined || html === null) return '';
-      html += '';
 
-      return html.replace(/\&amp;/g, '&')
+      return String(html).replace(/\&quot;/g, '"').replace(/\&#39;/g, '\'')
-      .replace(/\&lt;/g, '<').replace(/\&gt;/g, '>')
+      .replace(/\&gt;/g, '>').replace(/\&lt;/g, '<')
-      .replace(/\&#39;/g, '\'').replace(/\&quot;/g, '"');
+      .replace(/\&amp;/g, '&');
     },
 
     // 打开新窗口