React 中 dangerouslySetInnerHTML 使用
在react中,通过富文本编辑器进行操作后的内容,会保留原有的标签样式,并不能正确展示。
例如:
this.state.sourText = <div>这是一段文字</div> ...
render() { return <div>{this.state.sourText}</div>}
在页面中显示的内容是这样的:
<div>这是一段文字</div>
如果你将这段代码放在正常的html页面中,它是会换行的,在React中则不会,因为react不会自动帮你解析你的html代码.
这是因为:不合时宜的使用 innerHTML 可能会导致 cross-site scripting (XSS) 攻击。 净化用户的输入来显示的时候,经常会出现错误,不合适的净化也是导致网页攻击的原因之一。dangerouslySetInnerHTML 这个 prop 的命名是故意这么设计的,以此来警告,它的 prop 值( 一个对象而不是字符串 )应该被用来表明净化后的数据。
解决方案:
在显示时,将内容写入__html对象中即可。具体如下:
1、如果是直接调用接口中的值,则是以下的写法:
<div dangerouslySetInnerHTML = {{ __html: this.state.sourText }} />
2、如果是单纯的显示固定的内容,用如下的写法:
<div dangerouslySetInnerHTML={{ __html: '<div>这是一段文字</div>' }} />
原理:
1.dangerouslySetInnerHTMl 是React标签的一个属性,类似于angular的ng-bind;
2.有2个{{}}
,第一{}
代表jsx语法开始,第二个是代表dangerouslySetInnerHTML接收的是一个对象键值对;
3.既可以插入DOM,又可以插入字符串;
4.不合时宜的使用 innerHTML 可能会导致 cross-site scripting (XSS) 攻击。 净化用户的输入来显示的时候,经常会出现错误,不合适的净化也是导致网页攻击的原因之一。dangerouslySetInnerHTML 这个 prop 的命名是故意这么设计的,以此来警告,它的 prop 值( 一个对象而不是字符串 )应该被用来表明净化后的数据。
这么做的意义在于,{__html:...}
背后的目的是表明它会被当成 "type/taint"
类型处理。 这种包裹对象,可以通过方法调用返回净化后的数据,随后这种标记过的数据可以。注意__html
是两个_
被传递给 dangerouslySetInnerHTML。
这个功能主要被用来与 DOM 字符串操作类库一起使用,所以提供的 HTML 必须要格式清晰(例如:传递 XML 校验)
这些解释是来自于官方说法。
关于cross-site scripting (XSS) 攻击,可以参考这篇文章:http://www.cnblogs.com/loveis715/archive/2012/07/13/2506846.html