Làm cách nào để hiển thị html trong phản ứng?
Đôi khi, cần hiển thị mã HTML trong React, xuất phát từ nguồn bên ngoài hoặc trình chỉnh sửa WYSIWYG Show
Theo mặc định, điều này không được phép vì lý do bảo mật, nhưng có một số cách để vượt qua giới hạn này Trong bài viết này, chúng ta sẽ tìm hiểu cách đưa mã HTML vào thành phần React của bạn Hành vi mặc địnhĐể hiểu rõ hơn về hành vi mặc định của React, hãy thử nhúng một số HTML vào thành phần React
Có vẻ hợp lý khi mong đợi "Tiêu đề" và "Đoạn văn" được hiển thị trong các thẻ thích hợp, nhưng đó không phải là cách nó hoạt động React coi html là một chuỗi và hiển thị như sau Lý do rất đơn giản - chúng tôi ngăn chặn các cuộc tấn công XSS Bảo vệ XSS
Để ngăn chặn loại lỗ hổng này, React không cho phép hiển thị các giá trị được nhúng trong JSX bằng cách tự động thoát bất kỳ thứ gì không được viết rõ ràng trong ứng dụng và chuyển đổi giá trị được nhúng thành chuỗi trước khi hiển thị Điều gì sẽ xảy ra nếu React cho phép nó? Trang sẽ hoạt động theo cách này Nếu kẻ tấn công chạy bất kỳ mã JavaScript nào trên trang của bạn, chúng có khả năng đọc bất kỳ dữ liệu nhạy cảm nào (được lưu trữ trong cookie hoặc bộ nhớ cục bộ) và gửi dữ liệu đó đến máy chủ của chúng Đây chính là lý do tại sao React ngăn chặn tình trạng này theo mặc định cách 1. nguy hiểmSetInnerHTML PropCác phần tử HTML trong React có thể được cung cấp một prop nguy hiểmSetInnerHTML, thay thế cho innerHTML và cho phép hiển thị các chuỗi HTML làm nội dung của chúng Nó được gọi là nguy hiểm vì một lý do - sử dụng nó sẽ khiến bạn bị tấn công XSS
Prop nhận một đối tượng với khóa __html Nếu bạn quyết định đi theo con đường này, hãy nhớ dọn sạch HTML của bạn trước khi kết xuất, ngay cả khi nó có vẻ "an toàn" (nó đến từ bảng quản trị hoặc nguồn khác mà bạn kiểm soát)
Có nhiều thư viện bên ngoài cho việc này, chẳng hạn như dompurify, sanitize-html, v.v. Vệ sinh với "dompurify"Cài đặt thư viện
Sử dụng nó cho thành phần Ứng dụng của bạn Đọc tài liệu để tìm hiểu những thẻ nào được cho phép theo mặc định và cách cho phép/không cho phép những thẻ cụ thể Cách 2. Sử dụng thư viện bên ngoàiMột trong những thư viện tốt nhất hiện có là html-Reac-Parser. Nó cho phép phân tích mã HTML cả trong Node. js và trong trình duyệt Cài đặt thư viện
Và thêm nó vào ví dụ của chúng tôi Lưu ý quan trọng. Luôn kiểm tra xem thư viện có tự động làm sạch mã HTML hay không. Thư viện chúng tôi sử dụng không làm điều này, vì vậy chúng tôi vẫn phải tự vệ sinh Lựa chọn đúng cáchChọn cách tiếp cận phù hợp phụ thuộc rất nhiều vào những gì bạn muốn làm với HTML mà bạn nhận được Nếu bạn chỉ muốn hiển thị nó cho người dùng, thì bạn có thể không cần bất kỳ thư viện nào cho nó, mà chỉ cần dọn sạch nó và hiển thị nó với prop nguy hiểmSetInnerHTML Tuy nhiên, nếu bạn muốn thay thế một số thẻ HTML bằng các thành phần React và hiển thị chúng, thì một thư viện bên ngoài cho phép bạn làm điều đó chắc chắn là một giải pháp tốt Thí dụ. Thay thế tất cả các phần tử div bằng data-report-id bằng thành phần truy xuất và hiển thị một báo cáo thực tế Trong hướng dẫn này, chúng ta sẽ tìm hiểu về cách hiển thị chuỗi html dưới dạng các phần tử dom thực trong ứng dụng React Nếu chúng tôi cố gắng sử dụng cú pháp dấu ngoặc nhọn JSX Ứng dụng. js
Kết xuất HTMLĐể hiển thị chuỗi html trong phản ứng, chúng ta có thể sử dụng thuộc tính Thí dụ Ứng dụng. js
Thuật ngữ Làm cách nào tôi có thể kết xuất HTML từ một tệp khác trong thành phần phản ứng?Khi bạn đã yêu cầu tệp HTML, bạn sẽ phải chèn chuỗi HTML vào thành phần của mình bằng cách sử dụng phần mềm nguy hiểmSetInnerHTML . var __html = yêu cầu('. /mẫu. html'); . __html }; . mô-đun.
Làm cách nào để hiển thị HTML thô?Có thể hiển thị HTML thô trong Blazor bằng cách sử dụng Chuỗi đánh dấu . Bạn có thể đặt HTML thô dưới dạng chuỗi thành bất kỳ tham số nào và chuyển nó thành chuỗi đánh dấu.
Làm cách nào để hiển thị HTML từ phản hồi API trong phản ứng?nhập Phản ứng từ 'phản ứng'; . /mục lục. css'; . /Ứng dụng'; . /báo cáoWebVitals'; . ReactDOM. render( StrictMode>
Làm cách nào để sử dụng HTML bên trong phản ứng?HTML có thể từ một nguồn bên ngoài hoặc một tệp mà bạn muốn hiển thị cho người dùng. Theo mặc định, React không cho phép bạn chèn HTML vào một thành phần , vì nhiều lý do bao gồm cả tập lệnh chéo trang. Tuy nhiên, đối với một số trường hợp như trình soạn thảo CMS hoặc WYSIWYG, bạn phải xử lý HTML thô. |