← 返回首页
Dokument: parseHTML() statische Methode - Web-APIs | MDN
HTML

HTML: Markup language

HTML reference HTML guides Markup languages
CSS

CSS: Styling language

CSS reference CSS guides Layout cookbook
JavaScriptJS

JavaScript: Scripting language

JS reference JS guides
Web APIs

Web APIs: Programming interfaces

Web API reference Web API guides
All

All web technology

Technologies Topics
Learn

Learn web development

Frontend developer course Learn HTML Learn CSS Learn JavaScript
Tools

Discover our tools

About

Get to know MDN better

Blog
Seitenleiste umschalten
  1. Web
  2. Web-APIs
  3. Document
  4. parseHTML()
Farbschema
  • Systemeinstellung
  • Hell
  • Dunkel
Deutsch
Sprache merken Mehr erfahren

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Dokument: parseHTML() statische Methode

Eingeschränkt verfügbar

Diese Funktion ist nicht Baseline, da sie in einigen der am weitesten verbreiteten Browser nicht funktioniert.

Experimentell: Dies ist eine experimentelle Technologie
Überprüfen Sie die Browser-Kompatibilitätstabelle sorgfältig vor der Verwendung auf produktiven Webseiten.

Die parseHTML()-statische Methode des Document-Objekts bietet eine XSS-sichere Methode zum Parsen und Sanitisieren eines HTML-Strings, um eine neue Document-Instanz zu erstellen.

In diesem Artikel

Syntax

js
Document.parseHTML(input) Document.parseHTML(input, options)

Parameter

input

Ein String, der HTML definiert, das sanisiert und in den Shadow-Root eingefügt werden soll.

options Optional

Ein Optionsobjekt mit den folgenden optionalen Parametern:

sanitizer

Ein Sanitizer oder SanitizerConfig Objekt, das definiert, welche Elemente des Eingabe-Strings erlaubt oder entfernt werden, oder der String "default" für die Standard-Sanitizer-Konfiguration. Die Methode entfernt alle XSS-unsicheren Elemente und Attribute, selbst wenn sie vom Sanitizer erlaubt sind. Wenn nicht angegeben, wird die Standard-Sanitizer-Konfiguration verwendet.

Beachten Sie, dass es effizienter sein kann, bei mehrfacher Verwendung derselben Konfiguration einen Sanitizer zu verwenden und diesen bei Bedarf zu modifizieren.

Rückgabewert

Ein Document.

Ausnahmen

TypeError

Dies wird ausgelöst, wenn options.sanitizer einen Wert erhält:

  • SanitizerConfig, die nicht gültig ist. Zum Beispiel eine Konfiguration, die sowohl "allowed" als auch "removed" Einstellungsparameter umfasst.
  • Ein String, der nicht den Wert "default" hat.
  • Ein Wert, der kein Sanitizer, SanitizerConfig oder String ist.

Beschreibung

Die parseHTML()-Methode parst und sanitized einen HTML-String, um eine neue Document-Instanz zu erstellen, die XSS-sicher ist. Das resultierende Document hat einen Content-Type von "text/html", einen Zeichensatz von UTF-8 und eine URL von "about:blank".

Wenn im Parameter options.sanitizer kein Sanitizer angegeben ist, wird parseHTML() mit der Standard-Sanitizer-Konfiguration verwendet. Diese Konfiguration ist für die meisten Anwendungsfälle geeignet, da sie XSS-Angriffe sowie andere Angriffe wie Clickjacking oder Spoofing verhindert.

Ein benutzerdefinierter Sanitizer oder SanitizerConfig kann angegeben werden, um auszuwählen, welche Elemente, Attribute und Kommentare erlaubt oder entfernt werden. Beachten Sie, dass selbst wenn unsichere Optionen vom Sanitizer erlaubt sind, sie bei Verwendung dieser Methode weiterhin entfernt werden (sie entfernt dieselben Elemente wie ein Sanitizer, auf dem Sanitizer.removeUnsafe() aufgerufen wurde).

Das Eingabe-HTML kann declarative shadow roots enthalten. Wenn der HTML-String mehr als einen declarative shadow root in einem bestimmten Shadow-Host definiert, wird nur das erste ShadowRoot erstellt — nachfolgende Deklarationen werden als <template>-Elemente innerhalb dieses Shadow-Roots geparst.

parseHTML() sollte anstelle von Document.parseHTMLUnsafe() verwendet werden, es sei denn, es besteht ein spezifisches Bedürfnis, unsichere Elemente und Attribute zuzulassen. Wenn das zu parsende HTML keine unsicheren HTML-Entitäten enthalten muss, sollten Sie Document.parseHTML() verwenden.

Beachten Sie, dass diese Methode immer Eingabestrings von XSS-unsicheren Entitäten sanisiert und nicht durch die Trusted Types API gesichert oder validiert wird.

Spezifikationen

Spezifikation
HTML Sanitizer API
# dom-document-parsehtml

Browser-Kompatibilität

JavaScript aktivieren, um diese Browser-Kompatibilitätstabelle anzuzeigen.

Siehe auch

Help improve MDN

War diese Übersetzung hilfreich?
Ja Nein
Erfahren Sie, wie Sie beitragen können Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden
  1. Document Object Model (DOM)
  2. Document
  3. Konstruktor
    1. Document()
  4. Instanzeigenschaften
    1. activeElement
    2. activeViewTransition
    3. adoptedStyleSheets
    4. alinkColor
    5. all
    6. anchors
    7. applets
    8. bgColor
    9. body
    10. characterSet
    11. childElementCount
    12. children
    13. compatMode
    14. contentType
    15. cookie
    16. currentScript
    17. customElementRegistry
    18. defaultView
    19. designMode
    20. dir
    21. doctype
    22. documentElement
    23. documentURI
    24. domain
    25. embeds
    26. featurePolicy
    27. fgColor
    28. firstElementChild
    29. fonts
    30. forms
    31. fragmentDirective
    32. fullscreen
    33. fullscreenElement
    34. fullscreenEnabled
    35. head
    36. hidden
    37. images
    38. implementation
    39. lastElementChild
    40. lastModified
    41. lastStyleSheetSet
    42. linkColor
    43. links
    44. location
    45. pictureInPictureElement
    46. pictureInPictureEnabled
    47. plugins
    48. pointerLockElement
    49. preferredStyleSheetSet
    50. prerendering
    51. readyState
    52. referrer
    53. rootElement
    54. scripts
    55. scrollingElement
    56. selectedStyleSheetSet
    57. styleSheets
    58. styleSheetSets
    59. timeline
    60. title
    61. URL
    62. visibilityState
    63. vlinkColor
    64. xmlEncoding
    65. xmlVersion
  5. Statische Methoden
    1. parseHTML()
    2. parseHTMLUnsafe()
  6. Instanzmethoden
    1. adoptNode()
    2. append()
    3. ariaNotify()
    4. browsingTopics()
    5. caretPositionFromPoint()
    6. caretRangeFromPoint()
    7. clear()
    8. close()
    9. createAttribute()
    10. createAttributeNS()
    11. createCDATASection()
    12. createComment()
    13. createDocumentFragment()
    14. createElement()
    15. createElementNS()
    16. createEvent()
    17. createExpression()
    18. createNodeIterator()
    19. createNSResolver()
    20. createProcessingInstruction()
    21. createRange()
    22. createTextNode()
    23. createTouch()
    24. createTouchList()
    25. createTreeWalker()
    26. elementFromPoint()
    27. elementsFromPoint()
    28. enableStyleSheetsForSet()
    29. evaluate()
    30. execCommand()
    31. exitFullscreen()
    32. exitPictureInPicture()
    33. exitPointerLock()
    34. getAnimations()
    35. getElementById()
    36. getElementsByClassName()
    37. getElementsByName()
    38. getElementsByTagName()
    39. getElementsByTagNameNS()
    40. getSelection()
    41. hasFocus()
    42. hasPrivateToken()
    43. hasRedemptionRecord()
    44. hasStorageAccess()
    45. hasUnpartitionedCookieAccess()
    46. importNode()
    47. moveBefore()
    48. mozSetImageElement()
    49. open()
    50. prepend()
    51. queryCommandEnabled()
    52. queryCommandState()
    53. queryCommandSupported()
    54. querySelector()
    55. querySelectorAll()
    56. releaseCapture()
    57. replaceChildren()
    58. requestStorageAccess()
    59. requestStorageAccessFor()
    60. startViewTransition()
    61. write()
    62. writeln()
  7. Events
    1. afterscriptexecute
    2. beforescriptexecute
    3. DOMContentLoaded
    4. fullscreenchange
    5. fullscreenerror
    6. pointerlockchange
    7. pointerlockerror
    8. prerenderingchange
    9. readystatechange
    10. scroll
    11. scrollend
    12. scrollsnapchange
    13. scrollsnapchanging
    14. securitypolicyviolation
    15. selectionchange
    16. visibilitychange
  8. Vererbung
    1. Node
    2. EventTarget
  9. Verwandte Seiten für DOM
    1. AbortController
    2. AbortSignal
    3. AbstractRange
    4. Attr
    5. CDATASection
    6. CharacterData
    7. Comment
    8. CustomEvent
    9. DOMError
    10. DOMException
    11. DOMImplementation
    12. DOMParser
    13. DOMTokenList
    14. DocumentFragment
    15. DocumentType
    16. Element
    17. Event
    18. EventTarget
    19. HTMLCollection
    20. MutationObserver
    21. MutationRecord
    22. NamedNodeMap
    23. Node
    24. NodeIterator
    25. NodeList
    26. ProcessingInstruction
    27. QuotaExceededError
    28. Range
    29. ShadowRoot
    30. StaticRange
    31. Text
    32. TreeWalker
    33. XMLDocument
    34. XPathEvaluator
    35. XPathExpression
    36. XPathResult
    37. XSLTProcessor
  10. Anleitungen
    1. Anatomie des DOM
    2. Attributreflexion
    3. Auswahl und Traversierung im DOM-Baum
    4. Erstellen und Aktualisieren des DOM-Baums
    5. Arbeiten mit Ereignissen

Der Bauplan für ein besseres Internet.

MDN Mitmachen Entwicklung

Besuche die gemeinnützige Muttergesellschaft der Mozilla Corporation, die Mozilla Foundation.
Teile dieses Inhalts sind ©1998–2026 von einzelnen mozilla.org-Mitwirkenden. Inhalte sind verfügbar unter einer Creative-Commons-Lizenz.