正确渲染html字符串

最新推荐文章于 2025-07-06 09:56:38 发布
原创 最新推荐文章于 2025-07-06 09:56:38 发布 · 5.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#渲染html #渲染html字符串 #转义html字符串 #转义html

本文介绍了一种安全渲染HTML字符串的方法,通过将尖括号转义为HTML实体,确保只有合法的HTML标签被正确渲染,避免了潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

正确渲染html字符串

前言

在渲染 html 字符串时,需要将合法的 html 标签渲染出来,对部分字符( <> )转义成 html 实体。

相关链接

最全面清除html字符串的方式

代码

var str = `111<br     />sdfsdfsdf<h1 class="ddd"> 哈哈哈</h1>请看题()。i=0,s=0;while (s<n) {s=s+i;i++;}<br>else:<br   >    print 2<p >段落1</p><p>段落2</p>`
// 将 <、> 转义成 html 实体
function htmlSelfEncode (str) {
  if (typeof str !== 'string') {
    return ''
  }
  let s = ''
  if (str.length === 0) {
    return s
  }
  s = str.replace(/</g, '&lt;')
  s = s.replace(/>/g, '&gt;')
  return s
}
// 渲染 html 字符串
function renderHtml (str) {
  if (typeof str !== 'string') {
     return ''
   }
   const regPre = /<\/?[a-zA-Z]+[1-9]?\s*(\s+[a-zA-Z]+=("[^</>]*"|'[^</>]*'|[^</>]*))*\/?>/g
   const arrPre = str.match(regPre) || []
   let resultArr = []
   arrPre.forEach((v, i) => {
     let index = str.indexOf(v)
     let temp = str.substring(0, index)
     resultArr.push(this.htmlSelfEncode(temp), v)
     str = str.substring(index + v.length)
   })
   resultArr = resultArr.filter(v => v)
   return resultArr.join('')
}
renderHtml(str) // "111<br     />sdfsdfsdf<h1 class="ddd"> 哈哈哈</h1>请看题()。i=0,s=0;while (s&lt;n) {s=s+i;i++;}<br>else:<br   >    print 2<p >段落1</p><p>段落2</p>"

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>渲染html字符串</title>
  <style>
    .render-html{
      border: 1px solid #BBBFCD;
      padding: 20px;
      margin-bottom: 20px;
    }
  </style>
</head>
<body>
  <div>
    <h1>原始字符串</h1>
    <div id="pre" class="render-html"></div>
    <h1>转义 &lt;&gt; 为 html 实体后</h1>
    <div id="next" class="render-html"></div>
  </div>
  <script>
    var str = `111<br     />sdfsdfsdf<h1 class="ddd"> 哈哈哈</h1>请看题()。i=0,s=0;while (s<n) {s=s+i;i++;}<br>else:<br   >    print 2<p >段落1</p><p>段落2</p>`
    // 将 <、> 转义成 html 实体
    function htmlSelfEncode (str) {
      if (typeof str !== 'string') {
        return ''
      }
      let s = ''
      if (str.length === 0) {
        return s
      }
      s = str.replace(/</g, '&lt;')
      s = s.replace(/>/g, '&gt;')
      return s
    }
    // 渲染 html 字符串
    function renderHtml (str) {
      if (typeof str !== 'string') {
	      return ''
	    }
	    const regPre = /<\/?[a-zA-Z]+[1-9]?\s*(\s+[a-zA-Z]+=("[^</>]*"|'[^</>]*'|[^</>]*))*\/?>/g
	    const arrPre = str.match(regPre) || []
	    let resultArr = []
	    arrPre.forEach((v, i) => {
	      let index = str.indexOf(v)
	      let temp = str.substring(0, index)
	      resultArr.push(this.htmlSelfEncode(temp), v)
	      str = str.substring(index + v.length)
	    })
	    resultArr = resultArr.filter(v => v)
	    return resultArr.join('')
    }
    const pre = document.querySelector('#pre')
    const next = document.querySelector('#next')
    pre.innerHTML = str
    next.innerHTML = renderHtml(str)
    console.log(str)
    console.log(renderHtml(str))
  </script>
</body>
</html>

总结

将尖括号转义为 html 实体,并且不转义合法的 html 字符串,可以使用上面的方法。

前端如何安全的渲染HTML字符串?
Z__7Gk的博客
08-18 4130
在现代的Web 应用中,动态生成和渲染 HTML 字符串是很常见的需求。然而,不正确渲染HTML字符串可能会导致安全漏洞,例如跨站脚本攻击(XSS)。为了确保应用的安全性,我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践,以帮助你有效地避免潜在的安全风险。
HTMLhtml渲染字符串中包含HTML标签无效的处理方法,字符串中包含HTML标签转义的问题 解决...
weixin_30505751的博客
09-25 4013
需求如下图: 追加给前台后,效果如下: 可以在源码看到: 是将后台给出来的数据,直接当作字符串给填充在了前台HTML中。 而查看浏览器编译后的HTML源码可以发现: 原来字符串中的<br> 的<>符号已经被转义 实际是想将渲染出来的字符串中的...
【前端知识】HTML页面渲染:底层原理与技术实现剖析
最新发布
wendao76的专栏
07-06 815
本文深入剖析HTML页面渲染的底层原理与技术实现,从渲染引擎工作流程到现代浏览器架构,系统解析了关键渲染阶段:DOM/CSSOM构建、渲染树生成、布局与绘制。通过流程图和代码示例揭示性能优化核心,包括虚拟DOM、GPU加速等技术。文章还展望了2023+渲染技术趋势(如Islands架构、WebGPU)并提供了性能诊断指标(FID、CLS等)。最后强调优化关键渲染路径的核心原则,为开发者提供全面的渲染性能优化指南。
前端如何安全的渲染HTML字符串
热爱可抵岁月漫长
12-31 2511
使用js-xss,可以对用户提交的HTML内容进行净化,删除或转义所有潜在的危险代码,只保留安全的HTML标签和属性。它提供了一组方法和函数,可以净化和转义用户输入的HTML内容,以确保在浏览器环境中呈现的HTML是安全的。属性绑定时要特别小心。确保渲染HTML字符串是可靠和安全的,避免直接从用户输入或不受信任的来源获取HTML字符串,以防止XSS攻击等安全问题。HTML Sanitizer API 的出现旨在提供一种方便且安全的方式来处理和净化 HTML,以减少潜在的安全风险,并提高用户代理的安全性。
渲染html字符串格式内容
grow_的博客
12-26 869
dangerouslySetInnerHTML 是 React 为浏览器 DOM 提供 `innerHTML` 的替换方案,用来在 JSX 中渲染 HTML 格式的字符串内容通常来讲,使用代码直接设置 HTML 存在风险,因为很容易无意中使用户暴露于[跨站脚本(XSS)]的攻击为了安全可以通过类似于 `dompurify` 包,来对 HTML 字符串内容进行“消毒”步骤:1 .安装 dompurify 和 类型声明文件:npm add dompurify 和 npm add -D @types/dompu
twig渲染html字符串(备忘)
积木的博客
05-08 4152
当twig渲染一个html字符串的时候,需要配置的参数是加个false {% autoescape false %} {{content}} {% endautoescape %}
vue中将html字符串转换成html后遇到的问题小结
10-17
总的来说,处理HTML字符串时,需要注意`scoped`属性对样式的影响,以及如何正确地利用自定义指令进行DOM操作。在实际开发中,还要时刻警惕XSS攻击风险,确保安全地渲染动态内容。通过理解和掌握这些技巧,可以更好地...
JavaScript实现字符串HTML格式相互转换
10-15
字符串HTML格式之间的转换是常见的需求,例如在用户输入数据时防止XSS(跨站脚本攻击)或在显示HTML内容时确保内容正确渲染。本文将详细介绍如何使用JavaScript来实现这两个过程。 1. **字符串HTML** 当我们...
vue实现在v-htmlhtml字符串中绑定事件
10-16
在Vue.js中,v-html指令允许开发者将HTML字符串渲染到Vue模板中的元素里,这可以用于展示从服务器获取的HTML内容。但是,直接在v-html渲染HTML字符串中添加事件监听器是不可行的,因为v-html插入的内容不会被Vue的...
Vue.js 中取得后台原生HTML字符串 原样显示问题的解决方法
10-18
在Vue.js中,当从后台获取到的数据是以HTML字符串的形式存在时,为了在前端页面上正确渲染这些HTML内容,我们需要采取特殊的处理方式。这个问题在标题和描述中已经提出,即“Vue.js 中取得后台原生HTML字符串 原样...
php截取html字符串及自动补全html标签的方法
10-24
在处理HTML字符串时,有时需要对内容进行截取,同时确保HTML标签正确闭合,以保证页面的正确显示。本文将深入探讨如何利用PHP截取HTML字符串,并且提供自动补全HTML标签的方法。 首先,来看一下PHP截取HTML字符串...
React 如何正常渲染一段HTML字符串
weixin_43370067的博客
10-16 496
function showhtml(htmlString){ var html = {__html:htmlString}; return <div dangerouslySetInnerHTML={html}></div> ; }
html字符串传输框,传递HTML字符串渲染代码片段
weixin_39765100的博客
06-10 245
html:code: "\n Button\n"copy: "\n Button\n"snippet: "<a class="button-social" href="#">\n <div class="button-social__icon"><i class="fa fa-dashboard"></i></div>\n <div...
react如何渲染包含html标签元素的字符串
曲鸟
05-09 4448
后面查阅资料发现,在react中,出于安全考虑的原因(XSS 攻击),在 React.js 当中所有的表达式插入的内容都会被自动转义,就相当于 jQuery 里面的 text(…) 函数一样,任何的 HTML 格式都会被转义掉。因为用户的输入是不可控的,如果是这样的操作是开发给用户输入可能会导致 cross-site scripting (XSS) 攻击或者其他网页攻击,还有一些意向不到的错误出现。但我们这里的使用情况是控制了输入的,并没有开放给用户输入,所以不会出现上面的情况,可以放心使用。
富文本(标签字符串显示)
weixin_52263227的博客
02-13 1360
当从接口中获取的数据是标签字符串时,需要将其以标签的形式显示出来 小程序中可以使用富文本 <rich-text nodes="{{接口数据}}“></rich-text> vue组件中使用v-html <div v-html="接口数据”> </div> ...
html的css渲染,HTML+CSS入门 CSS渲染之文本
weixin_35600177的博客
06-17 332
本篇教程介绍了HTML+CSS入门 CSS渲染之文本,希望阅读本篇文章以后大家有所收获,帮助大家HTML+CSS入门。<一、文本样式首行缩进  text-indent首行缩进是将段落的第一行缩进,这是常用的文本格式化效果。一般地,中文写作时开头空两格。[注意]该属性可以为负值;应用于:块级元素(包括block和inline-block)亚冠联赛是亚洲最高等级的俱乐部赛事相当于欧洲的欧洲冠军...
html 字符串br 无效,换行符<br />显示在前台页面,而不是起到换行的作用,求解??...
weixin_39986178的博客
06-04 3459
$(document).delegate("#grid1", "iggriddatarendered", function (evt, ui) { $('.applyMultilineFormater').each(function () { $(this).html(M...
html字符串如何渲染--dangerouslySetInnerHTML
weixin_34168880的博客
03-15 2565
最近做react项目碰到个之前没做的内容 把后端请求回来的htm文档渲染到页面上,自己也是百度了好多方法,碰到一个比较好用,记录一下 主要通过dangerouslySetInnerHTML 这个属性 直接撸代码。 this.setState({ youNeedHtml:"<h2 >html文档</h2><p>后端返回来的文档</p&...
C#实现按字节截取HTML字符串方法
在进行软件开发时,字符串操作是一项基础而又重要的任务,而按字节长度截取字符串是一个经常遇到的...开发人员在实际应用中应当根据项目的具体需求来调整和完善代码,确保截取和补全HTML字符串的功能能够达到预期效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值