Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
Dokumentation: statische Methode parseHTML()
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Experimentell:Dies ist eineexperimentelle Technologie
Überprüfen Sie dieBrowser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.
Die statische MethodeparseHTML() desDocument-Objekts bietet eine XSS-sichere Methode, um einen HTML-String zu analysieren und zu bereinigen, um eine neueDocument-Instanz zu erstellen.
Syntax
Document.parseHTML(input)Document.parseHTML(input, options)Parameter
inputEin String, der definiert, welcher HTML-Code bereinigt und in den Shadow-Root eingefügt wird.
optionsOptionalEin Optionsobjekt mit den folgenden optionalen Parametern:
sanitizerEin
Sanitizer- oderSanitizerConfig-Objekt, das definiert, welche Elemente des Eingabe-Strings erlaubt oder entfernt werden, oder der String"default"für die Standard-Konfiguration des Sanitizers.Beachten Sie, dass ein"Sanitizerim Allgemeinen effizienter als eineSanitizerConfigsein sollte, wenn die Konfiguration wiederverwendet werden soll.Wenn nicht angegeben, wird die XSS-sichere Standardkonfiguration des Sanitizers verwendet.
Rückgabewert
EinDocument.
Ausnahmen
TypeErrorDies wird ausgelöst, wenn
options.sanitizerübergeben wird mit:- Einer
SanitizerConfig, die nichtgültig ist.Zum Beispiel eine Konfiguration, die sowohl "allowed" als auch "removed" Konfigurationseinstellungen enthält. - Einem String ohne den Wert
"default". - Einem Wert, der weder ein
Sanitizer, eineSanitizerConfig, noch ein String ist.
- Einer
Beschreibung
Die MethodeparseHTML() analysiert und bereinigt einen HTML-String, um eine neueDocument-Instanz zu erstellen, die XSS-sicher ist.Das resultierendeDocument hat einenContent-Type von "text/html", einZeichensatz von UTF-8 und eine URL von "about:blank".
Wenn keine Sanitizer-Konfiguration im Parameteroptions.sanitizer angegeben ist, wirdparseHTML() mit der Standardkonfiguration desSanitizer verwendet.Diese Konfiguration erlaubt alle Elemente und Attribute, die als XSS-sicher gelten, wodurch Entitäten ausgeschlossen werden, die als unsicher betrachtet werden.Ein benutzerdefinierter Sanitizer oder eine Sanitizer-Konfiguration kann angegeben werden, um auszuwählen, welche Elemente, Attribute und Kommentare erlaubt oder entfernt werden.Beachten Sie, dass selbst wenn unsichere Optionen durch die Sanitizer-Konfiguration erlaubt werden, sie dennoch entfernt werden, wenn diese Methode verwendet wird (die implizitSanitizer.removeUnsafe() aufruft).
Der Eingabe-HTML-Code kanndeklarative Shadow Roots enthalten.Wenn der HTML-String mehr als einendeklarativen Shadow Root in einem bestimmten Shadow-Host definiert, wird nur der ersteShadowRoot erstellt – nachfolgende Deklarationen werden als<template>-Elemente innerhalb dieses Shadow-Roots geparst.
parseHTML() sollte anstelle vonDocument.parseHTMLUnsafe() verwendet werden, es sei denn, es besteht ein spezifisches Bedürfnis, unsichere Elemente und Attribute zuzulassen.Wenn der zu parierende HTML-Code keine unsicheren HTML-Entitäten enthalten muss, sollten SieDocument.parseHTML() verwenden.
Beachten Sie, dass diese Methode immer Eingabestrings von XSS-unsicheren Entitäten bereinigt, sie wird nicht durch dieTrusted Types API gesichert oder validiert.
Spezifikationen
| Specification |
|---|
| HTML Sanitizer API # dom-document-parsehtml |
Browser-Kompatibilität
Siehe auch
Document.parseHTMLUnsafe()Element.setHTML()undElement.setHTMLUnsafe()ShadowRoot.setHTML()undShadowRoot.setHTMLUnsafe()DOMParser.parseFromString()zum Parsen von HTML oder XML in einen DOM-Baum- HTML Sanitizer API