Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten.Erfahre mehr über dieses Experiment.
TrustedHTML
Limited availability
This feature is not Baseline because it does not work in some of the most widely-used browsers.
Hinweis: Diese Funktion ist inWeb Workers verfügbar.
DieTrustedHTML-Schnittstelle derTrusted Types-API repräsentiert einen String, den ein Entwickler in eineInjection-Senke einfügen kann, um ihn als HTML darzustellen. Diese Objekte werden überTrustedTypePolicy.createHTML() erstellt und haben daher keinen Konstruktor.
Der Wert einesTrustedHTML-Objekts wird festgelegt, wenn das Objekt erstellt wird, und kann nicht durch JavaScript geändert werden, da kein Setter verfügbar ist.
Instanzmethoden
TrustedHTML.toJSON()Gibt eine JSON-Darstellung der gespeicherten Daten zurück.
TrustedHTML.toString()Ein String, der das bereinigte HTML enthält.
Beispiele
Im folgenden Beispiel erstellen wir eine Richtlinie, dieTrustedHTML-Objekte mithilfe vonTrustedTypePolicyFactory.createPolicy() erstellt. Wir können dannTrustedTypePolicy.createHTML() verwenden, um einen bereinigten HTML-String zu erstellen, der in das Dokument eingefügt werden kann.
Der bereinigte Wert kann dann mitElement.innerHTML verwendet werden, um sicherzustellen, dass keine neuen HTML-Elemente eingefügt werden können.
<div></div>const escapeHTMLPolicy = trustedTypes.createPolicy("myEscapePolicy", { createHTML: (string) => string.replace(/</g, "<"),});let el = document.getElementById("myDiv");const escaped = escapeHTMLPolicy.createHTML("<img src=x onerror=alert(1)>");console.log(escaped instanceof TrustedHTML); // trueel.innerHTML = escaped;Spezifikationen
| Specification |
|---|
| Trusted Types # trusted-html |