← 返回首页
Document : méthode statique parseHTML() - Les API Web | MDN
HTML

HTML: Markup language

HTML reference HTML guides Markup languages
CSS

CSS: Styling language

CSS reference CSS guides Layout cookbook
JavaScriptJS

JavaScript: Scripting language

JS reference JS guides
Web APIs

Web APIs: Programming interfaces

Web API reference Web API guides
All

All web technology

Technologies Topics
Learn

Learn web development

Frontend developer course Learn HTML Learn CSS Learn JavaScript
Tools

Discover our tools

About

Get to know MDN better

Blog
Basculer la barre latérale
  1. Web
  2. Les API Web
  3. Document
  4. parseHTML()
Thème
  • Automatique
  • Clair
  • Sombre
Français
Se souvenir de la langue En savoir plus

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

Document : méthode statique parseHTML()

Disponibilité limitée

Cette fonctionnalité n'est pas Compatible car elle ne fonctionne pas dans certains des navigateurs les plus utilisés.

Expérimental: Il s'agit d'une technologie expérimentale.
Vérifiez attentivement le tableau de compatibilité des navigateurs avant de l'utiliser en production.

La méthode statique parseHTML() de l'interface Document fournit une méthode sécurisée contre les XSS pour analyser et assainir une chaîne de caractères HTML afin de créer une nouvelle instance de Document.

Dans cet article

Syntaxe

js
Document.parseHTML(input) Document.parseHTML(input, options)

Paramètres

input

Une chaîne de caractères définissant le HTML à analyser et à injecter dans la racine d'ombre.

options Facultatif

Un objet d'options avec les paramètres optionnels suivants :

sanitizer

Un objet Sanitizer ou SanitizerConfig qui définit quels éléments de l'entrée sont autorisés ou supprimés, ou la chaîne de caractères "default" pour la configuration par défaut de l'assainisseur. La méthode supprime tous les éléments et attributs non sécurisés pour les XSS, même s'ils sont autorisés par l'assainisseur. Si aucun objet n'est défini, la configuration par défaut du Sanitizer est utilisée.

Notez que si vous utilisez la même configuration plusieurs fois, il est prévu qu'il soit plus efficace d'utiliser un Sanitizer et de le modifier lorsque vous en avez besoin.

Valeur de retour

Un objet Document.

Exceptions

TypeError

Est levée si options.sanitizer reçoit :

  • SanitizerConfig qui n'est pas valide. Par exemple, une configuration qui inclut à la fois les paramètres "allowed" et "removed".
  • une chaîne de caractères qui n'a pas la valeur "default".
  • une valeur qui n'est pas un Sanitizer, SanitizerConfig, ou une chaîne de caractères.

Description

La méthode parseHTML() analyse et assainit une chaîne de caractères HTML afin de créer une nouvelle instance de Document sécurisée contre les XSS. Le Document résultant a un type de contenu de "text/html", un encodage de caractères UTF-8 et une URL « about:blank ».

Si aucun assainisseur n'est défini dans le paramètre options.sanitizer, parseHTML() utilise la configuration par défaut de l'assainisseur. Cette configuration est adaptée à la majorité des cas d'utilisation, car elle empêche les attaques XSS, ainsi que d'autres attaques comme l'usurpation de clics ou l'usurpation d'identité.

Un assainisseur personnalisé ou une configuration d'assainissement peut être défini pour choisir quels éléments, attributs et commentaires sont autorisés ou supprimés. Notez que même si des options non sécurisées sont autorisées par l'assainisseur, elles sont néanmoins supprimées lors de l'utilisation de cette méthode (qui appelle implicitement Sanitizer.removeUnsafe()).

Le HTML d'entrée peut inclure des racines d'ombre déclaratives. Si la chaîne HTML définit plus d'une racine d'ombre déclarative dans un hôte d'ombre donné, seule la première ShadowRoot est créée — les déclarations suivantes sont analysées comme des éléments <template> à l'intérieur de cette racine d'ombre.

parseHTML() doit être utilisé plutôt que Document.parseHTMLUnsafe(), sauf s'il existe un besoin spécifique d'autoriser des éléments et attributs non sécurisés. Si le HTML à analyser n'a pas besoin de contenir des entités HTML non sécurisées, vous devriez utiliser Document.parseHTML().

Notez que, comme cette méthode assainit toujours les chaînes d'entrée contenant des entités non sécurisées au regard des XSS, elle n'est pas sécurisée ni validée à l'aide de l'API Trusted Types.

Spécifications

Spécification
HTML Sanitizer API
# dom-document-parsehtml

Compatibilité des navigateurs

Activez JavaScript pour afficher ce tableau de compatibilité des navigateurs.

Voir aussi

Aider à améliorer MDN

Cette page vous a-t-elle été utile ?
Oui Non
Apprendre à contribuer

Cette page a été modifiée le 13 mai 2026 par les contributeur·ice·s du MDN.

Voir cette page sur GitHubSignaler un problème avec ce contenu
  1. Référence du DOM
  2. Document
  3. Constructeur
    1. Document()
  4. Propriétés d'instance
    1. activeElement
    2. activeViewTransition
    3. adoptedStyleSheets
    4. alinkColor
    5. all
    6. anchors
    7. applets
    8. bgColor
    9. body
    10. characterSet
    11. childElementCount
    12. children
    13. compatMode
    14. contentType
    15. cookie
    16. currentScript
    17. customElementRegistry
    18. defaultView
    19. designMode
    20. dir
    21. doctype
    22. documentElement
    23. documentURI
    24. domain
    25. embeds
    26. featurePolicy
    27. fgColor
    28. firstElementChild
    29. fonts
    30. forms
    31. fragmentDirective
    32. fullscreen
    33. fullscreenElement
    34. fullscreenEnabled
    35. head
    36. hidden
    37. images
    38. implementation
    39. lastElementChild
    40. lastModified
    41. lastStyleSheetSet
    42. linkColor
    43. links
    44. location
    45. pictureInPictureElement
    46. pictureInPictureEnabled
    47. plugins
    48. pointerLockElement
    49. preferredStyleSheetSet
    50. prerendering
    51. readyState
    52. referrer
    53. rootElement
    54. scripts
    55. scrollingElement
    56. selectedStyleSheetSet
    57. styleSheets
    58. styleSheetSets
    59. timeline
    60. title
    61. URL
    62. visibilityState
    63. vlinkColor
    64. xmlEncoding
    65. xmlVersion
  5. Méthodes statiques
    1. parseHTML()
    2. parseHTMLUnsafe()
  6. Méthodes d'instance
    1. adoptNode()
    2. append()
    3. ariaNotify()
    4. browsingTopics()
    5. caretPositionFromPoint()
    6. caretRangeFromPoint()
    7. clear()
    8. close()
    9. createAttribute()
    10. createAttributeNS()
    11. createCDATASection()
    12. createComment()
    13. createDocumentFragment()
    14. createElement()
    15. createElementNS()
    16. createEvent()
    17. createExpression()
    18. createNodeIterator()
    19. createNSResolver()
    20. createProcessingInstruction()
    21. createRange()
    22. createTextNode()
    23. createTouch()
    24. createTouchList()
    25. createTreeWalker()
    26. elementFromPoint()
    27. elementsFromPoint()
    28. enableStyleSheetsForSet()
    29. evaluate()
    30. execCommand()
    31. exitFullscreen()
    32. exitPictureInPicture()
    33. exitPointerLock()
    34. getAnimations()
    35. getElementById()
    36. getElementsByClassName()
    37. getElementsByName()
    38. getElementsByTagName()
    39. getElementsByTagNameNS()
    40. getSelection()
    41. hasFocus()
    42. hasPrivateToken()
    43. hasRedemptionRecord()
    44. hasStorageAccess()
    45. hasUnpartitionedCookieAccess()
    46. importNode()
    47. moveBefore()
    48. mozSetImageElement()
    49. open()
    50. prepend()
    51. queryCommandEnabled()
    52. queryCommandState()
    53. queryCommandSupported()
    54. querySelector()
    55. querySelectorAll()
    56. releaseCapture()
    57. replaceChildren()
    58. requestStorageAccess()
    59. requestStorageAccessFor()
    60. startViewTransition()
    61. write()
    62. writeln()
  7. Évènements
    1. afterscriptexecute
    2. beforescriptexecute
    3. DOMContentLoaded
    4. fullscreenchange
    5. fullscreenerror
    6. pointerlockchange
    7. pointerlockerror
    8. prerenderingchange
    9. readystatechange
    10. scroll
    11. scrollend
    12. scrollsnapchange
    13. scrollsnapchanging
    14. securitypolicyviolation
    15. selectionchange
    16. visibilitychange
  8. Héritage
    1. Node
    2. EventTarget
  9. Pages liées à DOM
    1. AbortController
    2. AbortSignal
    3. AbstractRange
    4. Attr
    5. CDATASection
    6. CharacterData
    7. Comment
    8. CustomEvent
    9. DOMError
    10. DOMException
    11. DOMImplementation
    12. DOMParser
    13. DOMTokenList
    14. DocumentFragment
    15. DocumentType
    16. Element
    17. Event
    18. EventTarget
    19. HTMLCollection
    20. MutationObserver
    21. MutationRecord
    22. NamedNodeMap
    23. Node
    24. NodeIterator
    25. NodeList
    26. ProcessingInstruction
    27. QuotaExceededError
    28. Range
    29. ShadowRoot
    30. StaticRange
    31. Text
    32. TreeWalker
    33. XMLDocument
    34. XPathEvaluator
    35. XPathExpression
    36. XPathResult
    37. XSLTProcessor
  10. Guides
    1. Anatomy of the DOM
    2. Réflexion des attributs
    3. Sélection et parcours de l'arbre DOM
    4. Construire et mettre à jour l'arbre DOM
    5. Travailler avec des évènements

Votre modèle pour un internet meilleur.

MDN Contribuer Développeur·euse·s

Visitez la société mère à but non lucratif de Mozilla Corporation, la Fondation Mozilla.
Certaines parties de ce contenu sont protégées par le droit d'auteur ©1998—2026 des contributeurs individuels de mozilla.org. Contenu disponible sous une licence Creative Commons.