如何从JavaScript字符串中剥离HTML ?
当前回答
cleanText = strInputCode.replace(/<\/?[^>]+(>|$)/g, "");
从这个网站(web. achieve)提炼。
这个正则表达式查找<,一个可选的斜杠/,一个或多个不是>的字符,然后是>或$(行尾)
例子:
'<div>Hello</div>' ==> 'Hello'
^^^^^ ^^^^^^
'Unterminated Tag <b' ==> 'Unterminated Tag '
^^
但它也不是无懈可击的:
'If you are < 13 you cannot register' ==> 'If you are '
^^^^^^^^^^^^^^^^^^^^^^^^
'<div data="score > 42">Hello</div>' ==> ' 42">Hello'
^^^^^^^^^^^^^^^^^^ ^^^^^^
如果有人试图破坏您的应用程序,此正则表达式将无法保护您。只有在您已经知道输入格式的情况下才应该使用它。正如其他知识渊博且大多理智的人所指出的,要安全地剥离标记,必须使用解析器。
如果您无法访问像DOM这样方便的解析器,并且您不能相信您的输入是正确的格式,那么您最好使用像sanitize-html这样的包,以及其他可用的sanitizer。
其他回答
我知道这个问题有一个公认的答案,但我觉得它并不是在所有情况下都适用。
为了完整起见,因为我花了太多时间在这上面,下面是我们所做的:我们最终使用了PHP .js中的一个函数(对于那些更熟悉PHP的人来说,这是一个非常好的库,但也会时不时地做一些JavaScript):
http://phpjs.org/functions/strip_tags:535
这似乎是唯一一段JavaScript代码,它成功地处理了我塞进应用程序中的所有不同类型的输入。也就是说,在不破坏它的情况下-请参阅我上面关于<script />标记的评论。
在当前的浏览器中,使用浏览器的解析器可能是最好的选择。下面的方法可以工作,但有以下注意事项:
Your HTML is valid within a <div> element. HTML contained within <body> or <html> or <head> tags is not valid within a <div> and may therefore not be parsed correctly. textContent (the DOM standard property) and innerText (non-standard) properties are not identical. For example, textContent will include text within a <script> element while innerText will not (in most browsers). This only affects IE <=8, which is the only major browser not to support textContent. The HTML does not contain <script> elements. The HTML is not null The HTML comes from a trusted source. Using this with arbitrary HTML allows arbitrary untrusted JavaScript to be executed. This example is from a comment by Mike Samuel on the duplicate question: <img onerror='alert(\"could run arbitrary JS here\")' src=bogus>
代码:
var html = "<p>Some HTML</p>";
var div = document.createElement("div");
div.innerHTML = html;
var text = div.textContent || div.innerText || "";
cleanText = strInputCode.replace(/<\/?[^>]+(>|$)/g, "");
从这个网站(web. achieve)提炼。
这个正则表达式查找<,一个可选的斜杠/,一个或多个不是>的字符,然后是>或$(行尾)
例子:
'<div>Hello</div>' ==> 'Hello'
^^^^^ ^^^^^^
'Unterminated Tag <b' ==> 'Unterminated Tag '
^^
但它也不是无懈可击的:
'If you are < 13 you cannot register' ==> 'If you are '
^^^^^^^^^^^^^^^^^^^^^^^^
'<div data="score > 42">Hello</div>' ==> ' 42">Hello'
^^^^^^^^^^^^^^^^^^ ^^^^^^
如果有人试图破坏您的应用程序,此正则表达式将无法保护您。只有在您已经知道输入格式的情况下才应该使用它。正如其他知识渊博且大多理智的人所指出的,要安全地剥离标记,必须使用解析器。
如果您无法访问像DOM这样方便的解析器,并且您不能相信您的输入是正确的格式,那么您最好使用像sanitize-html这样的包,以及其他可用的sanitizer。
var html = "<p>Hello, <b>World</b>";
var div = document.createElement("div");
div.innerHTML = html;
alert(div.innerText); // Hello, World
这几乎是最好的方式,你让浏览器做它最擅长的事情——解析HTML。
编辑:正如下面的评论所指出的,这不是最跨浏览器的解决方案。最跨浏览器的解决方案是递归遍历元素的所有子元素,并连接找到的所有文本节点。但是,如果你正在使用jQuery,它已经为你做了:
alert($("<p>Hello, <b>World</b></p>").text());
查看文本方法。
推荐文章
- 给一个数字加上st, nd, rd和th(序数)后缀
- 使用Python解析HTML
- 如何以编程方式触发引导模式?
- setTimeout带引号和不带括号的区别
- 在JS的Chrome CPU配置文件中,'self'和'total'之间的差异
- 用javascript检查输入字符串中是否包含数字
- 如何使用JavaScript分割逗号分隔字符串?
- 在Javascript中~~(“双波浪号”)做什么?
- 谷歌chrome扩展::console.log()从后台页面?
- 未捕获的SyntaxError:
- [].slice的解释。调用javascript?
- jQuery日期/时间选择器
- 我如何预填充一个jQuery Datepicker文本框与今天的日期?
- 数组的indexOf函数和findIndex函数的区别
- jQuery添加必要的输入字段