innerHTML + bypassSecurityTrustHtml 导致节点重复渲染(innerHTML 中有多个函数时的执行顺序问题)

已于 2022-03-05 07:37:11 修改
阅读量2.4k 收藏 1
点赞数
分类专栏: Angular 文章标签: pipe
于 2020-12-26 17:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lyrelion/article/details/111756015
版权
博客围绕[innerHTML]和DomSanitizer的bypassSecurityTrustHtml()搭配使用导致节点无限重复渲染的问题展开。分析了可能原因,一是bypassSecurityTrustHtml()接收参数时render方法可能后执行,二是innerHTML接收函数而非转换完成的html代码。最终利用管道进行html代码安全处理,严格控制函数执行顺序解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.问题

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

2.2 回到问题本身进行分析

3.解决

1.问题

[innerHTML] 和 DomSanitizer 的 bypassSecurityTrustHtml() 搭配使用,导致节点无限重复渲染

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 获取安全 Html代码
getSafeHtml(html): SafeHtml {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="getSafeHtml(render(row))">
</div>

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

DomSanitizer:通过清理在不同 DOM上下文 中安全使用的值,来防止跨站点脚本安全漏洞(XSS)

bypassSecurityTrustHtml():是 DomSanitizer 下面的一个方法,通过接受 html代码svg图片,将他们转换为安全的值,防止出现报错

使用 innerHTML 的时候,可能会出现报错:WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).

参考博客:Angular4 绑定html内容 警告处理_xiaotuni的专栏,每天进步一点点 -CSDN博客icon-default.png?t=M1L8https://blog.csdn.net/xiaotuni/article/details/77171240

2.2 回到问题本身进行分析

可能性一:

bypassSecurityTrustHtml() 接收的参数应该是 string

此处的 bypassSecurityTrustHtml() 接受了 render(row),render() 方法返回的是 string

重点来了:render() 这个方法 可能 在 bypassSecurityTrustHtml() 之后执行

就是说 render() 还没有返回数据,bypassSecurityTrustHtml() 直接接收了的 render() 这么个空方法

导致 render() 最终在 bypassSecurityTrustHtml() 内部运行,导致重复渲染

可能性二:

innerHTML 接收到的是 getSafeHtml(render(row)) 函数,而不是一段转换完成的 html代码,导致重复渲染

总结:

[innerHTML]、getSafeHtml()、render() 执行顺序不能确定,导致了重复渲染

3.解决

利用 管道 进行 html 代码安全处理,严格控制各个函数的执行顺序

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 通过定义管道,实现获取安全的 html代码 这个功能
transform(html: string): any {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="render(row) | safeHtml">
</div>

执行顺序:

  • 先由 render(row) 生成 html代码
  • 再进入管道处理
  • 最后交由 [innerHTML] 插入节点

Angular:解决innerHTML绑定页面内容,sanitizing HTML stripped some content警告处理和富文本背景色样式无法正常显示的问题
灿灿大王搭建的黄金屋
07-17 1812
背景:在系统中使用quill富文本编辑器,使用的版本是ngx-quill@4.0.0,具体使用方法参见我的另一篇博客 Angular:ngx-quill富文本编辑器的使用(地址:https://blog.csdn.net/qq_36451496/article/details/88971422) 其中用富文本编辑好的表单内容这样在页面上展示: <div nz-col [nzSpa...
前端如何安全的渲染HTML字符串?
Z__7Gk的博客
08-18 4071
在现代的Web 应用中,动态生成和渲染 HTML 字符串是很常见的需求。然而,不正确地渲染HTML字符串可能会导致安全漏洞,例如跨站脚本攻击(XSS)。为了确保应用的安全性,我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践,以帮助你有效地避免潜在的安全风险。
Javascript中innerHTML用法实例分析
12-01
本文实例讲述了Javascript中innerHTML用法。分享给大家供大家参考。 具体实现方法如下: 代码如下:<html> <head> [removed] function t(){  var cont = document.getElementById(‘container’);  var htmlcode = “哈哈哈哈”;  cont[removed] = htmlcode; } [removed] </head> <body>     春天   <li
Angular中innerHTML标签的样式不起作用的原因解析
10-16
主要介绍了Angular中innerHTML标签的样式不起作用详解 ,本文给出了解决方案,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
JavaScript中innerHTML和innerText使用及简单的函数定义与调用
weixin_45967030的博客
04-25 2338
1.任何标签都有这俩个属性innerHTML innerText 都表示设置标签的文本内容。 如何动态给span标签或者div块标签等等添加文本内容呢? 要使用dom操作 1)给标签设置id属性 通过一个固定的语法:获取id="属性值"的标签对 var 标签对象 = docuement.getElementBy...
Angular:unsafe value used in a resource URL解决及DomSanitizer导致重复刷新的问题
android_zyf的博客
04-27 591
问题1:unsafe value <embed [src]="file.fileurl"/> 动态给 embed 标签绑定 src 属性,浏览器控制台会提示报错:ProcessSupplementTaskComponent.html:21 ERROR Error: unsafe value used in a resource URL context (see http://g.co/ng/security#xss) 解决1 使用 DomSanitizer import {DomSaniti
angular使用[innerHTML]样式不生效
qq_15509267的博客
07-08 3555
一、问题描述 使用[innerHTML]向angular的模板中添加模板,被添加模板中的css样式不生效。 二、详细介绍 【1】需要根据数据模型动态创建表格的表头(部分代码如下): //模板 .../ <td [innerHTML]="col.render?col.render(item[col.key],col.key,i,item):item[col.key]">&l...
关于在innerHTML中JS不执行问题
03-28
3. **利用事件监听**:可以将JavaScript代码包装在一个特定的事件处理函数中,例如点击事件,然后通过`innerHTML`添加这个事件触发器。 ```javascript let html = ` <button id="myButton">Click me document....
innerHTML动态添加html代码和脚本兼容多个浏览器
09-04
为了解决这个问题,我们可以编写一个跨浏览器的`set_innerHTML`函数,这个函数能够确保插入的HTML代码中的脚本在所有支持的浏览器中正确执行。下面是对`set_innerHTML`函数的详细解释: ```javascript var set_...
html代码过滤器,angular2项目中html代码被安全过滤器筛掉的问题
weixin_34351588的博客
06-10 375
16.12.23 安全过滤器需要渲染的代码如下:3–√对比使用[innerHtml]指令与原生innerHtml:解决方法:使用ng2服务DomSanitizer中的bypassSecurityTrustHtml方法具体操作:使用pipe过滤器进行封装。import { DomSanitizer } from '@angular/platform-browser';import { Pipe, P...
angular5绑定html,Angular4绑定html内容出现警告的处理方法
weixin_28731223的博客
07-01 191
前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是。但是最近在Angular4绑定html内容的候出现了警告,通过查找相关资料终于解决了,下面给同样遇到这个问题的朋友们分享下,话不多说了,来一起看看详细的介绍吧...
angular2中DomSanitizer的5种用法记录
涂涂
01-08 9873
1.Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页
angular7中防范跨站脚本(XSS)攻击的信任安全值得使用
yw00yw的博客
07-03 1716
信任安全值 有候,应用程序确实需要包含可执行的代码,比如使用 URL 显示 ,或者构造出有潜在危险的 URL。 为了防止在这种情况下被自动无害化,你可以告诉 Angular:我已经审查了这个值,检查了它是怎么生成的,并确信它总是安全的。 但是千万要小心!如果你信任了一个可能是恶意的值,就会在应用中引入一个安全漏洞。如果你有疑问,请找一个安全专家复查下。 注入 DomSanitizer 服务,然后...
Angular4 绑定html内容 警告处理
热门推荐
xiaotuni的专栏,每天进步一点点
08-14 1万+
绑定html内容如果用正常的方法去绑定的话,可能会出再这种警告<div [innerHTML]="Catcha" ></div> --------------------------------------- WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).而且页面上也显示不出东西来
Vue render函数渲染html标签(v-html || innerHtml)jsx写法
qq_42894952的博客
11-11 9511
render(h,data) { return h("div", { domProps: { innerHTML: data.row.instanceExeParams // 这里是要渲染的数据 } }) } // 用jsx写法(domPropsInnerHtml) <span domPropsInnerHtml={data.row.instanceExeParams}></span> ...
angular4 编译html,Angular4绑定html内容出现警告的处理方法
weixin_33281940的博客
06-25 264
Angular4绑定html内容出现警告的处理方法2019-01-07编程之家https://www.jb51.cc编程之家收集整理的这篇文章主要介绍了Angular4绑定html内容出现警告的处理方法,编程之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管...
html方法标签不起作用,Angular中innerHTML标签的样式不起作用的原因解析
weixin_34005394的博客
06-28 1482
1.背景在最近angular的项目中,需要用到[innerHTML]标签来指定一个div的样式://HTML部分//TS部分contents = '商品信息栏位商品信息介绍';但是上面的样式并不起作用,在Chorme中查看源码,发现style标签的样式在Angular编译的候被屏蔽掉。这是为什么呢?客观别急,请往下看。2.解决方案先说解决方案,最后再分析出现这种问题的原因。修改上面的TS:// ...
angular4 html转义,Angular4绑定html内容出现警告的处理方法
weixin_42299140的博客
06-22 195
前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是。但是最近在Angular4绑定html内容的候出现了警告,通过查找相关资料终于解决了,下面给同样遇到这个问题的朋友们分享下,话不多说了,来一起看看详细的介绍吧...
vue中h函数渲染本地svg
最新发布
04-03
<think>好的,我现在要解决用户的问题:如何在Vue中使用h函数渲染本地SVG文件。首先,我需要回忆一下Vue中h函数的作用和用法。h函数是Vue中用于创建虚拟节点(vnode)的,通常在渲染函数或JSX中使用。用户想用它来渲染本地的SVG文件,可能需要将SVG的内容嵌入到组件中。 接下来,我需要考虑如何加载本地的SVG文件。通常,在Vue中引入静态资源可以使用import或者直接作为字符串处理。但SVG文件的内容是XML格式的,直接导入可能不会解析成DOM元素。所以可能需要将SVG文件的内容读取出来,然后用h函数来创建对应的元素。 然后,我需要思考如何解析SVG内容。如果用户直接使用require或者import导入SVG文件,可能会得到一个字符串或者模块。这候可能需要使用v-html指令,但用户想用h函数,可能需要将SVG字符串转换成虚拟节点。不过,Vue的h函数需要明确每个标签和属性,手动解析可能比较麻烦。或者,有没有其他方法,比如使用Vue的动态组件或者内联SVG。 另外,记得Vue 3中推荐使用createVNode方法,但用户可能是在Vue 2或3中,需要确认。根据用户提供的引用,Vue 3使用Proxy,而引用[2]提到createVNode是创建vnode的方法,所以用户可能在问Vue 3的情况。 可能的解决方案步骤: 1. 将SVG文件作为字符串导入。 2. 使用v-html指令渲染字符串,但这样可能不安全,并且不使用h函数。 3. 另一种方法是使用h函数创建SVG元素,需要手动解析SVG的结构,或者将SVG转换成组件。 或者,可以将SVG文件作为组件导入。例如,使用vue-svg-loader这样的工具,将SVG转换为Vue组件,然后在渲染函数中使用h函数渲染这个组件。 但用户可能希望直接使用h函数渲染本地SVG,不需要额外加载器。这候可能需要将SVG内容作为字符串,然后用innerHTML插入,但可能不符合h函数的使用方式。 或者,可以读取SVG文件的内容,然后将其转换为虚拟节点。例如,使用DOMParser解析SVG字符串,然后递归遍历节点,用h函数创建对应的元素和属性。这可能比较复杂,但可行。 总结可能的步骤: - 使用import或require加载SVG文件内容。 - 将SVG字符串解析为DOM元素。 - 递归遍历DOM元素,转换为h函数调用的形式。 - 在渲染函数中返回生成的vnode。 不过,这可能涉及较多的代码和手动处理。有没有更简单的方法? 突然想到,Vue的h函数可以创建任何HTML或SVG元素,只要指定正确的命名空间。例如,创建SVG元素,需要指定命名空间为'http://www.w3.org/2000/svg'。但是h函数在创建元素可能默认是HTML命名空间,所以可能需要手动处理。 例如,创建svg元素,需要传递正确的命名空间。或者在Vue的渲染函数中,使用createElementNS方法,但h函数可能不支持直接指定命名空间。这可能是个问题。 在Vue中,当使用模板,Vue会自动处理SVG的命名空间,但在渲染函数中,可能需要显式处理。例如,使用h函数创建svg元素,可能需要设置正确的命名空间。但如何实现? 查资料发现,Vue的h函数在处理标签名,如果标签是svg、circle等SVG相关标签,会自动应用SVG命名空间。所以,当使用h函数创建SVG元素,只要正确使用标签名和属性,就能正确渲染。 因此,可能的解决方案是:将SVG内容转换为使用h函数逐层创建元素的方式。例如,对于如下SVG: <svg width="100" height="100"><circle cx="50" cy="50" r="40" stroke="green" fill="yellow" /></svg> 可以用h函数写成: h('svg', { width: 100, height: 100 }, [ h('circle', { cx:50, cy:50, r:40, stroke: 'green', fill: 'yellow' }) ])问题是,用户想要渲染本地的SVG文件,即动态加载外部SVG文件的内容,并转换为这样的结构。这就需要将SVG文件解析为这样的h函数调用结构。 这可能需要解析SVG的XML结构,并将其转换为Vue的h函数调用。这可能会比较繁琐,尤其是处理复杂的SVG结构。 另一种方法是使用vue-raw-loader,将SVG作为字符串导入,然后使用v-html渲染,但这样无法使用h函数。 或者,使用一个工具库,例如将SVG转换为Vue组件的loader,然后在渲染函数中使用该组件。 例如,安装vue-svg-loader,然后在组件中导入SVG文件作为组件: import MyIcon from './icon.svg'; 然后,在渲染函数中使用h(MyIcon)渲染。 这可能更简单,但需要配置webpack loader。这可能是一个可行的解决方案,但用户可能需要知道如何配置。 用户的问题是如何使用h函数渲染本地SVG,所以可能需要分两种情况: 1. 如果SVG是静态的,可以手动转换为h函数的调用结构。 2. 如果是动态加载的,可能需要解析SVG内容并生成对应的h函数结构。 假设用户希望动态加载本地SVG文件,可能需要使用XML解析器将SVG转换为虚拟节点结构。 不过,这可能比较复杂。或许更推荐的方法是使用vue-svg-loader,将SVG转换为组件,然后在h函数中使用该组件。 总结步骤: 1. 安装vue-svg-loader。 2. 配置webpack或vite以处理SVG文件。 3. 在组件中导入SVG文件作为组件。 4. 在setup函数渲染函数中使用h函数渲染导入的组件。 这样,用户就可以通过h函数渲染本地SVG了。 例如: import MySvg from './image.svg'; export default { render() { return h(MySvg); } } 或者,在setup中使用: setup() { const MySvg = require('./image.svg').default; return () => h(MySvg); } 这样就能渲染SVG了。这种方法不需要手动处理SVG内容,而是通过loader将其转换为Vue组件,然后使用h函数渲染。 不过,用户可能需要配置构建工具。例如,在Vue CLI项目中,可以配置vue.config.js来添加vue-svg-loader。 因此,回答应该包括两种方法:一种是手动使用h函数创建SVG元素,另一种是使用loader转换为组件并用h函数渲染。 另外,需要提醒用户注意SVG的命名空间和属性命名(例如stroke-width需要写成strokeWidth等)。 可能的错误点:属性名在SVG中是kebab-case,但在Vue中需要转换为camelCase。例如,stroke-width应该写成strokeWidth。 所以,在手动使用h函数创建SVG元素,必须注意属性名的转换。 综上,回答应该分为两种方法,推荐使用loader方法,或者手动转换。同,给出代码示例。</think>在Vue中使用`h`函数渲染本地SVG文件,可以通过以下两种方法实现: --- ### 方法一:直接使用`h`函数构建SVG元素 通过手动编写SVG元素的虚拟节点结构实现,适用于简单或静态SVG。 **示例代码**: ```javascript import { h } from 'vue'; export default { render() { return h( 'svg', { width: '100', height: '100', viewBox: '0 0 100 100', xmlns: 'http://www.w3.org/2000/svg' }, [ h('circle', { cx: '50', cy: '50', r: '40', stroke: 'green', 'stroke-width': '2', fill: 'yellow' }) ] ); } }; ``` **注意事项**: 1. SVG属性需使用**驼峰命名法**(如`strokeWidth`代替`stroke-width`)[^2]。 2. 必须显式声明`xmlns`命名空间。 --- ### 方法二:通过SVG Loader转换为组件 使用构建工具(如Webpack/Vite)将SVG文件转换为Vue组件,再通过`h`函数渲染。 **步骤**: 1. **安装Loader** - 对于Vite: ```bash npm install vite-svg-loader --save-dev ``` - 对于Webpack: ```bash npm install vue-svg-loader --save-dev ``` 2. **配置构建工具** **Vite配置**(`vite.config.js`): ```javascript import svgLoader from 'vite-svg-loader'; export default defineConfig({ plugins: [vue(), svgLoader()] }); ``` 3. **导入并渲染SVG** ```javascript import { h } from 'vue'; import LocalSvg from './image.svg'; // 导入SVG文件 export default { setup() { return () => h(LocalSvg); } }; ``` --- ### 对比分析 | 方法 | 适用场景 | 复杂度 | 可维护性 | |------|----------|--------|----------| | 手动构建 | 简单SVG或少量图标 | 高(需手动编写结构) | 低 | | SVG Loader | 动态加载或复杂SVG | 低(自动转换) | 高 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyrelion

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值