es6中 “标签模板”的一个重要应用

最新推荐文章于 2025-07-23 11:28:17 发布
原创 最新推荐文章于 2025-07-23 11:28:17 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了标签模板的重要应用,一是过滤 HTML 字符串,可防止用户输入恶意内容,经函数处理能转义特殊字符;二是用于多语言转换,即国际化处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

“标签模板”的一个重要应用,就是过滤 HTML 字符串,防止用户输入恶意内容。

let message =
  SaferHTML`<p>${sender} has sent you a message.</p>`;

function SaferHTML(templateData) {
  let s = templateData[0];
  for (let i = 1; i < arguments.length; i++) {
    let arg = String(arguments[i]);

    // Escape special characters in the substitution.
    s += arg.replace(/&/g, "&amp;")
            .replace(/</g, "&lt;")
            .replace(/>/g, "&gt;");

    // Don't escape special characters in the template.
    s += templateData[i];
  }
  return s;
}

上面代码中,sender变量往往是用户提供的,经过SaferHTML函数处理,里面的特殊字符都会被转义。

let sender = '<script>alert("abc")</script>'; // 恶意代码
let message = SaferHTML`<p>${sender} has sent you a message.</p>`;

message
// <p>&lt;script&gt;alert("abc")&lt;/script&gt; has sent you a message.</p>

标签模板的另一个应用,就是多语言转换(国际化处理)。

i18n`Welcome to ${siteName}, you are visitor number ${visitorNumber}!`
// "欢迎访问xxx,您是第xxxx位访问者!"
了解ES6模板字符串的标签函数
厦门在乎科技
11-26 889
模板字符串是可能是我们耳熟能详的一个ES6新特性,它可以允许我们在字符串中插入变量,还能够换行等等,确实使用起来非常地方便。然而,ES6还新增了一种主要用于和模板字符串配合使用的标签函数。 1.什么标签函数? 顾名思义,标签函数也是一种函数。这是一个很简单的标签函数声明: function tagFoo() { console.log('这是一个标签函数'); } 仔细观察一下,看看tagFoo和我们常用的普通函数有什么区别呢?是不是看不出区别呢?得出这个结论很正常,因为标签函数其实就是一
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\s*(javascript|vbscript):[^’]+’|(javascript|vbscript):[^\s]+)\s*(?=>) 4、epression\((.|\n)*\);? 了解他们的规则后,抓虫行动就水到渠成。 抓虫1 a { heigh
用js实现过滤script的正则
12-08
(推荐)JS正则知识点专题://www.jb51.net/article/139831.htm function stripscript(s) {      return s.replace(/[removed]/ig, ”);  }  稍微说下,高手飘过 /之间的内容/ 是js正则语句的书写开始与结束 .*?是贪婪的匹配,如果不是贪婪的就是.*匹配任何字符,但用贪婪的就是不包含>的内容 /ig 是不区分大小写和全局替换 您可能感兴趣的文章:AngularJS模糊查询功能实现代码(过滤内容下拉菜单排序过滤敏感字
使用js过滤内容中<script>
大墨
12-31 1122
js 函数 function stripscript(s) { return s.replace(/.*?/ig, ''); }
ES6 标签模板:前端框架的灵活利器
最新发布
前端结城的博客
07-23 1009
摘要: ES6模板字符串标签(Tagged Template Literals)通过自定义标签函数增强了字符串处理的灵活性,广泛应用于React(如Styled-Components样式动态绑定)和Lit(如高效DOM模板渲染)。其核心优势包括代码可读性、动态内容处理及安全性(如XSS防护)。示例展示了标签函数实现HTML转义逻辑。虽然现代浏览器普遍支持,旧环境需通过Babel转译或Polyfill(如core-js)确保兼容性。该特性还被扩展用于国际化、GraphQL查询等场景,体现了其在前端开发中的强大
javascript 过滤 script 非法标签 防止注入
热门推荐
清晨一场梦
07-23 2万+
方法如下: /** * [hasIllegalChar 判断是否含有script非法字符] * @param {[type]} str [要判断的字符串] * @return {Boolean} [true:含有,验证不通过;false:不含有,验证通过] */ function hasIllegalChar(str) { ...
javascript 漏洞
weixin_33834910的博客
07-05 548
1.javascript语言中,每一个对象都有一个对应的原型对象,称为prototype对象。 继承是基于原型的! 2.prototype对象的作用,就是定义所有实例对象共享的属性和方法! 3.“原型链”的作用在于,当读取对象的某个属性时,JavaScript引擎先寻找对象本身的属性,如果找不到,就到它的原型去找,如果还是找不 到,就到原型的原型去找。 4.jquery ...
责任链模式-通过自定义过滤器过滤javascript代码和敏感字符。
IT从业者
10-12 803
1.背景:网页若被javascript代码篡改,将发生一些不好的事情,比如在网页中插入如下打广告代码: setInterval(function(){alert('代购驾照分,有意请联系QQ:12345678.(每隔两秒弹出一次)')},2000);原网页内容:Java学习经典案例,优秀代码集锦!请勿错过。 新网页内容:Java学习经典案例,优秀代码集锦!请勿错过。setInterval(
ES6模板字符串和标签模板应用实例分析
10-16
ES6(ECMAScript 2015)是JavaScript语言的一个重要版本更新,它为这门语言带来了许多新特性和改进,其中模板字符串和标签模板ES6引入的重要的字符串处理机制。以下是对这两种特性的详细分析。 ### 模板字符串 ...
详解JavaScript ES6中的模板字符串
10-23
标签模板一个常见用途是避免XSS(跨站脚本)攻击,通过实现自定义的转义逻辑来确保输出的安全性。例如,`SaferHTML`标签可以用来转义HTML中可能会导致安全问题的字符,这样可以保证输出到HTML的内容不会被恶意利用...
js代码-es6 标签模板
07-14
JavaScript是Web开发中不可或缺的一部分,而ES6(ECMAScript 2015)作为JavaScript的一个重要版本,引入了许多新特性以提升开发效率和代码质量。其中,标签模板(Tagged Templates)是ES6一个非常实用且独特的特性...
正则过滤字符串中 script 标签
抄经书的程序猿
07-31 1392
需求是模板字符串中不允许出现标签、不允许有javascript和.js文件引用,记录一下。
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
漏洞利用的艺术:攻击JavaScript引擎
02-15
漏洞利用的艺术:攻击JavaScript引擎
基于JavaScript的框架漏洞
weixin_68408599的博客
12-09 3059
本文章是基于JavaScript框架的漏洞,相关靶场均在vulhub靶场,此文章只供于学习讨论。
javascript 过滤字符串中script并且替换掉 xss注入攻击
gyq04551的博客
12-05 2229
function scriptReplace(str) { if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含 var str1 = str.replace('script', '</*script*/>');//替换的内容 return st...
js过滤url中的特殊字符
xiaoxiaohui520134的博客
06-20 4216
在URL传递参数中,有一些特殊字符,而这些些符号在URL中是不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。 下表中列出了一些URL特殊符号及编码十六进制值 1. + URL 中+号表示空格 %2B 2. 空格 URL中的空格可以用+号或者编码 %20 3. / 分隔目录和子目录 %2F 4. ? 分隔实际的 URL 和参数 %3F 5. % 指定
js 过滤script标签之间的内容
SOHO SOFTWARE
05-11 3931
<br />function stripscript(s) { return s.replace(/<script.*?>.*?<//script>/ig, ''); } 稍微说下,高手飘过 /之间的内容/ 是js正则语句的书写开始与结束 .*?是贪婪的匹配,如果不是贪婪的就是.*匹配任何字符,但用贪婪的就是不包含>的内容 /ig 是不区分大小写和全局替换 详细出处参考:http://www.jb51.net/article/14558.htm
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值