fix: 优化 escape 和 unescape 在解析某些特殊字符串时的潜在问题 (#2628)

* fix: 修复 escape 未转义 unicode 中 & 字符的问题

* chore: update

* fix: 优化 unescape 替换顺序，确保为 escape 替换的反向顺序

* chore: update

docs/laytpl/detail/demo.md

@@ -32,7 +32,8 @@
     <div>数据</div>
     &lt;textarea id="ID-tpl-data"&gt;
 {
-  "title": "Layui 常用模块",
+  "title": "Layui 常用组件",
+  "desc": "<a style=\"color:blue;\">一段带 HTML 的内容</a>",
   "list": [
     {
       "modname": "弹层",

src/modules/util.js

@@ -323,25 +323,24 @@ layui.define('jquery', function(exports){
 
     // 转义 html
     escape: function(html){
-      var exp = /[<"'>]|&(?=#[a-zA-Z0-9]+)/g;
-      if(html === undefined || html === null) return '';
+      var exp = /[<"'>]|&(?=#?[a-zA-Z0-9]+)/g;
+      if (html === undefined || html === null) return '';
 
       html += '';
-      if(!exp.test(html)) return html;
+      if (!exp.test(html)) return html;
 
-      return html.replace(/&(?!#?[a-zA-Z0-9]+;)/g, '&amp;')
+      return html.replace(/&(?=#?[a-zA-Z0-9]+;?)/g, '&amp;')
       .replace(/</g, '&lt;').replace(/>/g, '&gt;')
       .replace(/'/g, '&#39;').replace(/"/g, '&quot;');
     },
 
     // 还原转义的 html
     unescape: function(html){
-      if(html === undefined || html === null) html = '';
-      html += '';
+      if (html === undefined || html === null) return '';
 
-      return html.replace(/\&amp;/g, '&')
-      .replace(/\&lt;/g, '<').replace(/\&gt;/g, '>')
-      .replace(/\&#39;/g, '\'').replace(/\&quot;/g, '"');
+      return String(html).replace(/\&quot;/g, '"').replace(/\&#39;/g, '\'')
+      .replace(/\&gt;/g, '>').replace(/\&lt;/g, '<')
+      .replace(/\&amp;/g, '&');
     },
 
     // 打开新窗口