如何在 JavaScript 中安全地取消轉義 HTML 實體？

在JavaScript 中取消轉義HTML 實體

問題：

ML>MLHT字串時-RPC 後端，它們按字面意思呈現，而不是呈現為HTML 元素。這表明 HTML 正在透過 XML-RPC 通道進行轉義。

使用 DOMParser 的解決方案：

要在 JavaScript 中正確轉義 HTML 實體而不引入安全漏洞，它建議使用 DOMParser 介面。 DOMParser 根據提供的 HTML 字串建立一棵 DOM 樹，然後可用於檢索未轉義的文字內容。

這是利用DOMParser 的htmlDecode 函數的更新版本：

function htmlDecode(input) {
  var doc = new DOMParser().parseFromString(input, "text/html");
  return doc.documentElement.textContent;
}

以下範例示範如何使用更新後的函數：

console.log(htmlDecode("<img src='myimage.jpg'>"));
// "<img src='myimage.jpg'>"

console.log(htmlDecode("<img src='dummy' onerror='alert(/xss/)'>"));
// ""

在第二個中例如，潛在的惡意HTML 字串未正確轉義，從而產生空字串，以防止跨站腳本(XSS) 漏洞。

以上是如何在 JavaScript 中安全地取消轉義 HTML 實體？的詳細內容。更多資訊請關注PHP中文網其他相關文章！