← 返回首页
Element: outerHTML-Eigenschaft - Web-APIs | MDN
HTML

HTML: Markup language

HTML reference HTML guides Markup languages
CSS

CSS: Styling language

CSS reference CSS guides Layout cookbook
JavaScriptJS

JavaScript: Scripting language

JS reference JS guides
Web APIs

Web APIs: Programming interfaces

Web API reference Web API guides
All

All web technology

Technologies Topics
Learn

Learn web development

Frontend developer course Learn HTML Learn CSS Learn JavaScript
Tools

Discover our tools

About

Get to know MDN better

Blog
Seitenleiste umschalten
  1. Web
  2. Web-APIs
  3. Element
  4. outerHTML
Farbschema
  • Systemeinstellung
  • Hell
  • Dunkel
Deutsch
Sprache merken Mehr erfahren

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Element: outerHTML-Eigenschaft

Baseline Weitgehend verfügbar

Diese Funktion ist gut etabliert und funktioniert auf vielen Geräten und in vielen Browserversionen. Sie ist seit Juli 2015 browserübergreifend verfügbar.

Warnung: Diese Eigenschaft analysiert ihre Eingabe als HTML und schreibt das Ergebnis in das DOM. APIs wie diese sind bekannt als Injection-Sinks und können ein Angriffsvektor für Cross-Site Scripting (XSS) sein, wenn die Eingabe ursprünglich von einem Angreifer stammt.

Sie können dieses Risiko vermindern, indem Sie stets TrustedHTML-Objekte statt Strings zuweisen und vertraute Typen durchsetzen. Siehe Sicherheitsüberlegungen für weitere Informationen.

Das outerHTML Attribut des Element Interface liest oder setzt das HTML- oder XML-Markup des Elements und seiner Nachkommen, ignoriert jedoch jegliche Shadow Roots in beiden Fällen.

Um den Inhalt eines Elements zu lesen oder zu setzen, verwenden Sie stattdessen die innerHTML Eigenschaft.

In diesem Artikel

Wert

Das Lesen der Eigenschaft gibt einen String zurück, der eine HTML-Serialisierung des Elements und seiner Nachkommen enthält.

Das Setzen der Eigenschaft akzeptiert entweder ein TrustedHTML Objekt oder einen String. Die Eingabe wird als HTML analysiert und ersetzt das Element sowie alle seine Nachkommen mit dem Ergebnis. Wenn der Wert auf null gesetzt wird, wird dieser null-Wert in den leeren String ("") umgewandelt, sodass element.outerHTML = null gleichbedeutend mit element.outerHTML = "" ist.

Ausnahmen

NoModificationAllowedError DOMException

Wird ausgelöst, wenn versucht wurde, outerHTML auf einem Element zu setzen, welches ein direktes Kind eines Document ist, wie z.B. Document.documentElement.

SyntaxError DOMException

Wird ausgelöst, wenn versucht wurde, outerHTML mit einer XML-Eingabe zu setzen, die nicht wohlgeformt ist.

TypeError

Wird ausgelöst, wenn die Eigenschaft auf einen String gesetzt wird, während Trusted Types durch eine CSP durchgesetzt werden und keine Standardrichtlinie definiert ist.

Beschreibung

outerHTML erhält eine Serialisierung des Elements oder setzt HTML oder XML, das analysiert werden soll, um es innerhalb des Elternelements zu ersetzen.

Wenn das Element keinen Elterknoten hat, ändert das Setzen seiner outerHTML-Eigenschaft weder dieses Element noch seine Nachkommen. Zum Beispiel:

js
const div = document.createElement("div"); div.outerHTML = '<div class="test">test</div>'; console.log(div.outerHTML); // output: "<div></div>"

Auch wenn das Element im Dokument ersetzt wird, hält die Variable, deren outerHTML-Eigenschaft gesetzt wurde, weiterhin eine Referenz auf das ursprüngliche Element:

js
const p = document.querySelector("p"); console.log(p.nodeName); // shows: "P" p.outerHTML = "<div>This div replaced a paragraph.</div>"; console.log(p.nodeName); // still "P";

Escapete Attributwerte

Der zurückgegebene Wert wird einige Werte in HTML-Attributen escapen. Hier sehen wir, dass das &-Zeichen escapt wird:

js
const anchor = document.createElement("a"); anchor.href = "https://developer.mozilla.org?a=b&c=d"; console.log(anchor.outerHTML); // output: "<a href='https://developer.mozilla.org?a=b&amp;c=d'></a>"

Einige Browser serialisieren auch die <- und >-Zeichen als &lt; und &gt;, wenn sie in Attributwerten erscheinen (siehe Browser-Kompatibilität). Dies dient dazu, eine potenzielle Sicherheitslücke (Mutation XSS) zu verhindern, bei der ein Angreifer Eingaben erstellen kann, die eine Sanitisierungsfunktion umgehen, was eine Cross-Site Scripting (XSS)-Attacke ermöglicht.

Überlegungen zum Shadow DOM

Die Serialisierung des DOM-Baums, die von der Eigenschaft gelesen wird, schließt keine Shadow Roots ein. Wenn Sie eine HTML-Serialisierung eines Elements benötigen, die Shadow Roots einschließt, müssen Sie stattdessen die Element.getHTML() Methode verwenden. Beachten Sie, dass dies die Inhalte des Elements erhält.

Ähnlich wird beim Festlegen von Elementinhalten mit outerHTML die HTML-Eingabe in DOM-Elemente analysiert, die keine Shadow Roots enthalten. Beispielsweise wird <template> als HTMLTemplateElement analysiert, unabhängig davon, ob das shadowrootmode-Attribut angegeben ist oder nicht. Wenn Sie die Inhalte eines Elements aus einer HTML-Eingabe, die deklarative Shadow Roots enthält, setzen möchten, müssen Sie stattdessen Element.setHTMLUnsafe() oder ShadowRoot.setHTMLUnsafe() verwenden.

Sicherheitsüberlegungen

Die outerHTML-Eigenschaft kann ein Vektor für Cross-Site Scripting (XSS)-Angriffe sein, da sie verwendet werden kann, um potenziell unsichere von einem Benutzer bereitgestellte Strings in das DOM zu injizieren. Während die Eigenschaft verhindert, dass <script>-Elemente beim Einfügen ausgeführt werden, ist sie anfällig für viele andere Arten, mit denen Angreifer HTML so gestalten können, dass bösartiges JavaScript ausgeführt wird. Zum Beispiel würde der folgende Code im error-Event-Handler ausgeführt, weil der <img> src Wert keine gültige Bild-URL ist:

js
const name = "<img src='x' onerror='alert(1)'>"; element.outerHTML = name; // shows the alert

Sie können diese Probleme vermindern, indem Sie stets TrustedHTML-Objekte statt Strings zuweisen und vertraute Typen durchsetzen mit dem require-trusted-types-for CSP-Direktive. Dies stellt sicher, dass die Eingabe durch eine Transformationsfunktion geleitet wird, die die Chance hat, die Eingabe zu sanitisieren, um potenziell gefährliches Markup zu entfernen, bevor es injiziert wird.

Beispiele

Die Serialisierung eines Elements erhalten

Das Lesen von outerHTML führt dazu, dass der User-Agent das Element serialisiert.

Angenommen, folgendes HTML ist gegeben:

html
<div id="example"> <p>Content</p> <p>Further Elaborated</p> </div>

Sie können das Markup für das <div> wie folgt abrufen und protokollieren:

js
const myElement = document.querySelector("#example"); const contents = myElement.outerHTML; console.log(contents); // '<div id="example">\n <p>Content</p>\n <p>Further Elaborated</p>\n</div>'

Das Element ersetzen

In diesem Beispiel werden wir ein Element im DOM ersetzen, indem wir HTML der outerHTML-Eigenschaft des Elements zuweisen. Um das Risiko von XSS zu mindern, erstellen wir zuerst ein TrustedHTML-Objekt aus dem String, der das HTML enthält, und weisen dieses Objekt dann outerHTML zu.

Vertrauenswürdige Typen werden noch nicht von allen Browsern unterstützt, daher definieren wir zuerst das Trusted Types Tinyfill. Dies fungiert als transparenter Ersatz für die Trusted Types JavaScript-API:

js
if (typeof trustedTypes === "undefined") trustedTypes = { createPolicy: (n, rules) => rules };

Als Nächstes erstellen wir eine TrustedTypePolicy, die eine createHTML() für die Umwandlung eines Eingabestrings in TrustedHTML-Instanzen definiert. In der Regel verwenden Implementierungen von createHTML() eine Bibliothek wie DOMPurify, um die Eingabe wie unten gezeigt zu sanitisieren:

js
const policy = trustedTypes.createPolicy("my-policy", { createHTML: (input) => DOMPurify.sanitize(input), });

Dann verwenden wir dieses policy-Objekt, um ein TrustedHTML-Objekt aus dem potenziell unsicheren Eingabestring zu erstellen und das Ergebnis dem Element zuzuweisen:

js
// The potentially malicious string const untrustedString = "<p>I might be XSS</p><img src='x' onerror='alert(1)'>"; // Create a TrustedHTML instance using the policy const trustedHTML = policy.createHTML(untrustedString); // Inject the TrustedHTML (which contains a trusted string) const element = document.querySelector("#container"); element.outerHTML = trustedHTML; // Replaces the element with id "container" // Note that the #container div is no longer part of the document tree,

Warnung: Obwohl Sie direkt einen String outerHTML zuweisen können, stellt dies ein Sicherheitsrisiko dar, wenn der einzufügende String potenziell bösartigen Inhalt enthalten könnte. Sie sollten TrustedHTML verwenden, um sicherzustellen, dass der Inhalt vor dem Einfügen saniert wird, und Sie sollten einen CSP-Header setzen, um vertraute Typen durchzusetzen.

Spezifikationen

Spezifikation
HTML
# dom-element-outerhtml

Browser-Kompatibilität

JavaScript aktivieren, um diese Browser-Kompatibilitätstabelle anzuzeigen.

Siehe auch

Help improve MDN

War diese Übersetzung hilfreich?
Ja Nein
Erfahren Sie, wie Sie beitragen können Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden
  1. Document Object Model (DOM)
  2. Element
  3. Instanzeigenschaften
    1. ariaActiveDescendantElement
    2. ariaAtomic
    3. ariaAutoComplete
    4. ariaBrailleLabel
    5. ariaBrailleRoleDescription
    6. ariaBusy
    7. ariaChecked
    8. ariaColCount
    9. ariaColIndex
    10. ariaColIndexText
    11. ariaColSpan
    12. ariaControlsElements
    13. ariaCurrent
    14. ariaDescribedByElements
    15. ariaDescription
    16. ariaDetailsElements
    17. ariaDisabled
    18. ariaErrorMessageElements
    19. ariaExpanded
    20. ariaFlowToElements
    21. ariaHasPopup
    22. ariaHidden
    23. ariaInvalid
    24. ariaKeyShortcuts
    25. ariaLabel
    26. ariaLabelledByElements
    27. ariaLevel
    28. ariaLive
    29. ariaModal
    30. ariaMultiLine
    31. ariaMultiSelectable
    32. ariaOrientation
    33. ariaOwnsElements
    34. ariaPlaceholder
    35. ariaPosInSet
    36. ariaPressed
    37. ariaReadOnly
    38. ariaRelevant
    39. ariaRequired
    40. ariaRoleDescription
    41. ariaRowCount
    42. ariaRowIndex
    43. ariaRowIndexText
    44. ariaRowSpan
    45. ariaSelected
    46. ariaSetSize
    47. ariaSort
    48. ariaValueMax
    49. ariaValueMin
    50. ariaValueNow
    51. ariaValueText
    52. assignedSlot
    53. attributes
    54. childElementCount
    55. children
    56. classList
    57. className
    58. clientHeight
    59. clientLeft
    60. clientTop
    61. clientWidth
    62. currentCSSZoom
    63. customElementRegistry
    64. elementTiming
    65. firstElementChild
    66. id
    67. innerHTML
    68. lastElementChild
    69. localName
    70. namespaceURI
    71. nextElementSibling
    72. outerHTML
    73. part
    74. prefix
    75. previousElementSibling
    76. role
    77. scrollHeight
    78. scrollLeft
    79. scrollLeftMax
    80. scrollTop
    81. scrollTopMax
    82. scrollWidth
    83. shadowRoot
    84. slot
    85. tagName
  4. Instanzmethoden
    1. after()
    2. animate()
    3. append()
    4. ariaNotify()
    5. attachShadow()
    6. before()
    7. checkVisibility()
    8. closest()
    9. computedStyleMap()
    10. getAnimations()
    11. getAttribute()
    12. getAttributeNames()
    13. getAttributeNode()
    14. getAttributeNodeNS()
    15. getAttributeNS()
    16. getBoundingClientRect()
    17. getClientRects()
    18. getElementsByClassName()
    19. getElementsByTagName()
    20. getElementsByTagNameNS()
    21. getHTML()
    22. hasAttribute()
    23. hasAttributeNS()
    24. hasAttributes()
    25. hasPointerCapture()
    26. insertAdjacentElement()
    27. insertAdjacentHTML()
    28. insertAdjacentText()
    29. matches()
    30. moveBefore()
    31. prepend()
    32. querySelector()
    33. querySelectorAll()
    34. releasePointerCapture()
    35. remove()
    36. removeAttribute()
    37. removeAttributeNode()
    38. removeAttributeNS()
    39. replaceChildren()
    40. replaceWith()
    41. requestFullscreen()
    42. requestPointerLock()
    43. scroll()
    44. scrollBy()
    45. scrollIntoView()
    46. scrollIntoViewIfNeeded()
    47. scrollTo()
    48. setAttribute()
    49. setAttributeNode()
    50. setAttributeNodeNS()
    51. setAttributeNS()
    52. setCapture()
    53. setHTML()
    54. setHTMLUnsafe()
    55. setPointerCapture()
    56. toggleAttribute()
  5. Events
    1. afterscriptexecute
    2. animationcancel
    3. animationend
    4. animationiteration
    5. animationstart
    6. auxclick
    7. beforeinput
    8. beforematch
    9. beforescriptexecute
    10. beforexrselect
    11. blur
    12. click
    13. compositionend
    14. compositionstart
    15. compositionupdate
    16. contentvisibilityautostatechange
    17. contextmenu
    18. copy
    19. cut
    20. dblclick
    21. DOMActivate
    22. DOMMouseScroll
    23. focus
    24. focusin
    25. focusout
    26. fullscreenchange
    27. fullscreenerror
    28. gesturechange
    29. gestureend
    30. gesturestart
    31. gotpointercapture
    32. input
    33. keydown
    34. keypress
    35. keyup
    36. lostpointercapture
    37. mousedown
    38. mouseenter
    39. mouseleave
    40. mousemove
    41. mouseout
    42. mouseover
    43. mouseup
    44. mousewheel
    45. MozMousePixelScroll
    46. paste
    47. pointercancel
    48. pointerdown
    49. pointerenter
    50. pointerleave
    51. pointermove
    52. pointerout
    53. pointerover
    54. pointerrawupdate
    55. pointerup
    56. scroll
    57. scrollend
    58. scrollsnapchange
    59. scrollsnapchanging
    60. securitypolicyviolation
    61. touchcancel
    62. touchend
    63. touchmove
    64. touchstart
    65. transitioncancel
    66. transitionend
    67. transitionrun
    68. transitionstart
    69. webkitmouseforcechanged
    70. webkitmouseforcedown
    71. webkitmouseforceup
    72. webkitmouseforcewillbegin
    73. wheel
  6. Vererbung
    1. Node
    2. EventTarget
  7. Verwandte Seiten für DOM
    1. AbortController
    2. AbortSignal
    3. AbstractRange
    4. Attr
    5. CDATASection
    6. CharacterData
    7. Comment
    8. CustomEvent
    9. DOMError
    10. DOMException
    11. DOMImplementation
    12. DOMParser
    13. DOMTokenList
    14. Document
    15. DocumentFragment
    16. DocumentType
    17. Event
    18. EventTarget
    19. HTMLCollection
    20. MutationObserver
    21. MutationRecord
    22. NamedNodeMap
    23. Node
    24. NodeIterator
    25. NodeList
    26. ProcessingInstruction
    27. QuotaExceededError
    28. Range
    29. ShadowRoot
    30. StaticRange
    31. Text
    32. TreeWalker
    33. XMLDocument
    34. XPathEvaluator
    35. XPathExpression
    36. XPathResult
    37. XSLTProcessor
  8. Anleitungen
    1. Anatomie des DOM
    2. Attributreflexion
    3. Auswahl und Traversierung im DOM-Baum
    4. Erstellen und Aktualisieren des DOM-Baums
    5. Arbeiten mit Ereignissen

Der Bauplan für ein besseres Internet.

MDN Mitmachen Entwicklung

Besuche die gemeinnützige Muttergesellschaft der Mozilla Corporation, die Mozilla Foundation.
Teile dieses Inhalts sind ©1998–2026 von einzelnen mozilla.org-Mitwirkenden. Inhalte sind verfügbar unter einer Creative-Commons-Lizenz.