React中将字符串类型的标签渲染在页面上-dangerouslySetInnerHTML

最新推荐文章于 2024-07-05 11:43:07 发布
最新推荐文章于 2024-07-05 11:43:07 发布
阅读量1.8k 收藏 6
点赞数 1
文章标签: react.js 前端 javascript react html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60292609/article/details/121817736
版权

React 中的 innerHTML

  • 在vue中提供了v-html可以直接将内容标签解析渲染在页面上
  • 虽然react中没有提供像什么v-html,但是提供了一个方法dangerouslySetInnerHTML,效果和v-html一样
    在这里插入图片描述
    在这里插入图片描述

缺点 — XSS攻击

人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

例如你写一个文章类的项目,别人写了一些字符串标签,你通过dangerouslySetInnerHTML方法渲染的标签,那么有些人会恶意的,在字符串的标签中书写一些例如 script,img等标签在里面书写代码或发请求,并且那些代码被渲染的同时都会被执行,可能他们会通过这些方法,获取后端的数据,写一些恶意破坏用户体验的代码,所以,我们要杜绝这种情况的发生,使用一些手段净化

解决方案

安装包

npm i dompurify @types/dompurify -D

在页面中调用 dompurify 来对渲染的内容做净化:

import DOMPurify from 'dompurify'

使用DOMPurify.sanitize()包裹要渲染的内容

<div dangerouslySetInnerHTML={{__html:DOMPurify.sanitize(a)}}>
Nero09xx
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
React 替换字符串里面span的里的某些内容
04-22
2. 前提是替换字符串里面的某些标签,也可以是多个标签,这个是在react里面的,自己可以参考然后可以动态替换成其他标签,例如li,ul都是可以的 3.字符串可以替换单个也可以替换多个的 4. 原先的想法是获取到字符串...
react-native-html:将 html 字符串渲染为本地自定义元素
06-11
html 字符串渲染为本地自定义元素 提示: WIP,仅支持和现在。 安装 $ npm install react-native-html --save 例子 var React = require ( 'react-native' ) ; var { AppRegistry , View } = React ; var ...
jsString字符串当作HTML来处理,显示在页面
daxi玫瑰的博客
02-01 3018
jsString字符串当作HTML来处理,显示在页面
关于React中如何让渲染dom节点
一个前端工程师
05-19 433
关于React中如何让渲染dom节点,关于报错:Objects are not valid as a React child (found: [object HTMLDivElement]). If you meant to render a collection of children, use an array instead.
react 项目中预防xss攻击的插件 dompurify
最新发布
weixin_42289080的博客
07-05 392
【代码】react 项目中预防xss攻击的插件 dompurify。
react中字符标签转换的展示
weixin_45315794的博客
05-28 726
react中字符标签转换的展示 在react中获取的字符串标签转换成正常的标签在浏览器中展示标签内的数据,react提供了一个API:dangerouslySetInnerHTML,它可以帮助转换成正常标签及内的数据; <div className="policy-styles" dangerouslySetInnerHTML={{ __html: htmlContent}}></div> htmlContent表示展示要做div内的字符标签,如 let htmlContent =
React渲染html结构---dangerouslySetInnerHTML
kjl536566的博客
12-18 1337
【代码】React渲染html结构,
react渲染字符串html
程序猿的博客
04-14 3052
jsx或tsx中渲染html元素,可以使用dangerouslySetInnerHTML属性进行渲染,示例如下 <span dangerouslySetInnerHTML={{ __html: '要渲染html内容' }} />
react-latex:React组件以渲染Latex字符串
05-17
React胶乳 基于React组件以渲染乳胶字符串安装$ npm install --save react-latex用法在JavaScript中使用乳胶之前包括在您的html Katex CSS中 < html > < head > < link href =" //cdnjs.cloudflare....
react-string-replace:一种使用React组件安全地进行字符串替换的简单方法
05-11
React字符串替换 一种使用React组件安全地进行字符串替换的简单方法 又名将字符串转换为React组件的数组 ...通过在跨度标签中将字符串中的所有数字突出显示,以突出显示它们: reactStringReplace ( 'Apt 111,
react-notion:用于Notion页面的快速React渲染
02-05
用于概念页面React渲染器。 使用概念作为CMS来管理您的博客,文档或个人网站。 react-notion 是由开发的。 Splitbee是任何团队的快速,可靠,免费,现代的分析工具。 该软件包不处理与API的通信。 请查看以获得...
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击和XSS方面有着丰富的背景。不要害怕。
react中实现v-html功能
qq_45560350的博客
02-10 2247
使用dangerouslySetInnerHTML export default class NovelItem extends Component { render() { const novelMsg = this.props.novelMsg; return ( <div className="novelItem"> <div>{novelMsg.title}</div> // 注意:__html有两个
React中实现Vue中的v-html效果
weixin_53452096的博客
07-23 4969
React中实现Vue中的v-html效果使用原生操作使用dangerouslySetInnerHTML 使用原生操作 //在函数组件之中 let [str,setStr]=useState("<h1>hello world</h1>") let toJsx=()=>{ document.getElementById("box").innerHTML(str) //获取dom元素,使用innerHTML插入内容 } <div id="box"> {toJs
React V6实现v-if、v-show、v-html
_小郑有点困了的博客
06-29 1388
在vue中使用v-if、v-show、v-html这些命令得心应手,那么react是否也存在这样的命令呢?似乎是没有的,需要自己实现,也就是用原生的写法直接控制dom。
react过滤后台富文本传来带标签的内容 react中像vue中v-html的方法
社会人
03-28 6099
react过滤后台富文本传来带标签的内容 react中像vue中v-html的方法
react使用dangerouslySetInnerHTMl 渲染后端传递的数据中的html标签
qq_52685664的博客
12-06 2202
react使用dangerouslySetInnerHTMl 渲染后端传递的数据中的html标签
react总结之插入获取到的HTML元素
my_love_download的博客
06-22 1097
在vue中我们可以使用指令v-html来将获取到的HTML元素在页面上展示,在react中,同样可以将获取到的HTML元素在页面上展示.在react中,可以使用dangerouslySetInnerHTMLHTML页面上显示,如一下代码: import React, { Component } from 'react' import ReactDom from 'react-dom' class TestHtml extends Component { constructor(props) {
vue 和react中的v-html,以及双向绑定,和点击事件的区别
xiaokangna的博客
09-05 685
react中的dangerouslySetInnerHTML export default class App extends Component { state = { msg : <p> 这里是一些html标签的内容,需要使用模板字符串 } render () { return ( < div> {/* 使用规则,以对象的形式,key值 __html (俩个下划线) */} <div dangerouslySetInnerHTML = {{ __html : this.s
React dangerouslySetInnerHTML - 将HTML字符串解析为html样式显示
05-16
React中的`dangerouslySetInnerHTML`属性允许你将一个包含HTML标签和内容的字符串解析为HTML样式并显示在页面上。这个属性的使用是被认为是“危险”操作,因为它可以导致跨站脚本攻击(XSS攻击)。 使用`dangerouslySetInnerHTML`属性时,你需要传递一个对象,该对象包含一个`__html`属性,该属性的值是要显示的HTML字符串。例如: ```jsx function MyComponent() { const htmlString = "<h1>Hello, world!</h1>"; return <div dangerouslySetInnerHTML={{ __html: htmlString }} />; } ``` 在上面的例子中,`MyComponent`组件将`htmlString`字符串解析为HTML样式,并将其显示在页面上。请注意,传递给`dangerouslySetInnerHTML`属性的对象应该只包含`__html`属性,不应该包含其他属性,因为这可能会导致安全漏洞。 需要注意的是,使用`dangerouslySetInnerHTML`属性时应该非常小心,只有在你知道你要渲染HTML字符串是安全的情况下才应该使用它。否则,最好使用React提供的其他方法来渲染内容,例如使用`React.createElement`函数手动创建元素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值