Comment puis-je supprimer en toute sécurité les entités HTML en JavaScript ?

Récupération des entités HTML dans JavaScript

Problème :

Lors de la réception de chaînes HTML à partir d'un fichier XML -Backend RPC, ils s'affichent littéralement au lieu d'être rendus sous forme d'éléments HTML. Cela suggère que le code HTML est échappé via le canal XML-RPC.

Solution utilisant DOMParser :

Pour annuler correctement l'échappement des entités HTML dans JavaScript sans introduire de vulnérabilités de sécurité, il est recommandé d'utiliser l'interface DOMParser. DOMParser crée une arborescence DOM à partir de la chaîne HTML fournie, qui peut ensuite être utilisée pour récupérer le contenu texte non échappé.

Voici une version mise à jour de la fonction htmlDecode qui utilise DOMParser :

function htmlDecode(input) {
  var doc = new DOMParser().parseFromString(input, "text/html");
  return doc.documentElement.textContent;
}

Les exemples suivants montrent comment utiliser la fonction mise à jour :

console.log(htmlDecode("<img src='myimage.jpg'>"));
// "<img src='myimage.jpg'>"

console.log(htmlDecode("<img src='dummy' onerror='alert(/xss/)'>"));
// ""

Dans le deuxième exemple, la chaîne HTML potentiellement malveillante est ne s'est pas échappé correctement, ce qui entraîne une chaîne vide pour empêcher les vulnérabilités de script intersite (XSS).

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!