使用 reactjs 渲染原始 html

IT技术 javascript reactjs
2021-01-27 03:53:38

那么这是使用 reactjs 呈现原始 html 的唯一方法吗?

// http://facebook.github.io/react/docs/tutorial.html
// tutorial7.js
var converter = new Showdown.converter();
var Comment = React.createClass({
  render: function() {
    var rawMarkup = converter.makeHtml(this.props.children.toString());
    return (
      <div className="comment">
        <h2 className="commentAuthor">
          {this.props.author}
        </h2>
        <span dangerouslySetInnerHTML={{__html: rawMarkup}} />
      </div>
    );
  }
});

我知道有一些很酷的方法可以用 JSX 来标记东西,但我主要对能够呈现原始 html(带有所有类、内联样式等)感兴趣。像这样复杂的东西:

<!-- http://getbootstrap.com/components/#dropdowns-example -->
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>

我不想在 JSX 中重写所有这些。

也许我在想这一切都是错误的。请纠正我。

6个回答

现在有更安全的方法来呈现 HTML。我在以前的回答中介绍了这一点您有 4 个选项,最后一个使用dangerouslySetInnerHTML.

呈现 HTML 的方法

  1. 最简单- 使用 Unicode,将文件另存为 UTF-8 并将 设置charset为 UTF-8。

    <div>{'First · Second'}</div>

  2. 更安全- 对 Javascript 字符串中的实体使用 Unicode 编号。

    <div>{'First \u00b7 Second'}</div>

    或者

    <div>{'First ' + String.fromCharCode(183) + ' Second'}</div>

  3. 或者带有字符串和 JSX 元素的混合数组。

    <div>{['First ', <span>&middot;</span>, ' Second']}</div>

  4. 最后的手段- 使用dangerouslySetInnerHTML.

    <div dangerouslySetInnerHTML={{__html: 'First &middot; Second'}} />

在一个类似的问题stackoverflow.com/questions/19266197/... 中,这个答案不太好。也许它更适合这个问题,或者人们没有阅读答案......:D
2021-03-12 03:53:38
想知道dangerouslySetInnerHTML除了 __html 之外还有哪些其他属性接收
2021-03-24 03:53:38
人们对dangerousSetInnerHtml 有办法弯曲变形。虽然开发人员应该了解它如何可能成为 XSS 攻击的载体,但在一些有效的用例中,这是合理的实用方法,特别是在您设置的 html 不是由用户输入形成或由经过消毒的用户输入形成的情况下. 如果您了解 HTML 并有理由将其存储在变量或其他东西中,那么这是迄今为止最优雅的方法。
2021-03-27 03:53:38
@JuanSolano none,根据 TypeScript 环境中的自动完成条目。
2021-04-09 03:53:38

您可以利用html-to-reactnpm module。

注意:我是该module的作者,几个小时前刚刚发布。请随时报告任何错误或可用性问题。

我刚刚检查了代码。它似乎没有使用危险的SetInnerHTML。
2021-03-27 03:53:38
嘿丹尼尔,我没有,其中一位贡献者接手并在 7 个月前发布了最后一个版本。github.com/aknuds1/html-to-react
2021-03-31 03:53:38
它在内部使用危险的SetInnerHTML 吗?
2021-04-01 03:53:38
Mike 你还在积极维护这个 npm module吗?
2021-04-04 03:53:38
这是臃肿的并使用 ramda 等和大型库 - 我不推荐
2021-04-10 03:53:38

risklySetInnerHTML是 React 在浏览器 DOM 中使用 innerHTML 的替代品。一般来说,从代码中设置 HTML 是有风险的,因为很容易在不经意间将用户暴露给跨站点脚本 (XSS) 攻击。

在通过dangerouslySetInnerHTML.

DOMPurify - 用于 HTML、MathML 和 SVG 的仅 DOM、超快速、超级容忍的 XSS 清理器。DOMPurify 使用安全的默认设置,但提供了许多可配置性和挂钩。

示例

import React from 'react'
import createDOMPurify from 'dompurify'
import { JSDOM } from 'jsdom'

const window = (new JSDOM('')).window
const DOMPurify = createDOMPurify(window)

const rawHTML = `
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>
`

const YourComponent = () => (
  <div>
    { <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(rawHTML) }} /> }
  </div>
)

export default YourComponent
这次真是万分感谢。这应该是正确答案。
2021-03-20 03:53:38
该死!谢谢榆次!这个答案应该被考虑和接受。
2021-03-23 03:53:38
这正是我在这个答案中寻找的。它应该有更多的赞成票
2021-03-24 03:53:38
这是我可能会考虑的方法 - 谢谢!
2021-03-24 03:53:38
我在没有 JSDOM 的情况下使用了它。它就像一个魅力。谢谢!阅读此主题后,我意识到提供给非技术人员的带有 CMS 的 Web 应用程序可能会遭受 XSS 攻击。
2021-04-05 03:53:38

我在快速和肮脏的情况下使用过这个:

// react render method:

render() {
    return (
      <div>
        { this.props.textOrHtml.indexOf('</') !== -1
            ? (
                <div dangerouslySetInnerHTML={{__html: this.props.textOrHtml.replace(/(<? *script)/gi, 'illegalscript')}} >
                </div>
              )
            : this.props.textOrHtml
          }

      </div>
      )
  }
这是不安全的 - 如果 HTML 包含<img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" onload="alert('test');">?
2021-04-06 03:53:38
如果您可以控制正在呈现的 HTML,则是安全的
2021-04-09 03:53:38

我试过这个纯组件:

const RawHTML = ({children, className = ""}) => 
<div className={className}
  dangerouslySetInnerHTML={{ __html: children.replace(/\n/g, '<br />')}} />

特征

  • 需要classNameprops(更容易设计)
  • 替换\n<br />(你经常想这样做)
  • 使用组件时将内容作为子项放置,例如:
  • <RawHTML>{myHTML}</RawHTML>

我已将该组件放在 Github 的 Gist 中:RawHTML: ReactJS pure component to render HTML

其它你可能感兴趣的问题
上一篇如何从 FileList 中删除文件 下一篇如何使用 JavaScript 获取没有 HTML 元素的纯文本?