← 返回首页
Element: setHTML() メソッド - Web API | MDN
HTML

HTML: Markup language

HTML reference HTML guides Markup languages
CSS

CSS: Styling language

CSS reference CSS guides Layout cookbook
JavaScriptJS

JavaScript: Scripting language

JS reference JS guides
Web APIs

Web APIs: Programming interfaces

Web API reference Web API guides
All

All web technology

Technologies Topics
Learn

Learn web development

Frontend developer course Learn HTML Learn CSS Learn JavaScript
Tools

Discover our tools

About

Get to know MDN better

Blog
Toggle sidebar
  1. 開発者向けのウェブ技術
  2. Web API
  3. Element
  4. setHTML()
Theme
  • OS default
  • Light
  • Dark
日本語
Remember language Learn more

このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。

View in English Always switch to English

Element: setHTML() メソッド

Limited availability

This feature is not Baseline because it does not work in some of the most widely-used browsers.

Experimental: これは実験的な機能です。
本番で使用する前にブラウザー互換性一覧表をチェックしてください。

setHTML()Element インターフェイスのメソッドで、HTML の文字列を構文解析・サニタイズして DocumentFragment に変換、それを要素のサブツリーとして DOM に挿入する、XSS 対策済みの安全な方法を提供します。

In this article

構文

js
setHTML(input) setHTML(input, options)

引数

input

文字列で、サニタイズされ要素に挿入される HTML を定義します。

options 省略可

以下のオプション引数を持つオプションオブジェクトです。

sanitizer

Sanitizer または SanitizerConfig オブジェクトで、入力のどの要素が許可されたり削除されたりするかを定義します。文字列 "default" で既定の構成になります。 一般的に、設定を再利用する場合、SanitizerConfigよりもSanitizerの方が効率的であることが期待されます。 指定しなかった場合、既定のサニタイザー設定が使用されます。

返値

なし (undefined)。

例外

TypeError

options.sanitizer に次のようなものが渡された場合に例外が発生します。

  • 正規化されていない SanitizerConfig("allowed" と "removed" の両方の設定を含むもの)
  • 値が "default" ではない文字列
  • SanitizerSanitizerConfig、文字列のどれでもない値。

解説

setHTML() メソッドは、HTML の文字列を構文解析・サニタイズして DocumentFragment に変換、それを要素のサブツリーとして DOM に挿入する、XSS 対策済みの安全な方法を提供します。

setHTML() は、現在の要素のコンテキストで不正な要素(例:<table> 要素の外にある <col> 要素)を HTML 入力文字列から除去します。 その後、サニタイザー設定で許可されていない HTML エンティティを削除し、さらに XSS 対策上安全でない要素や属性を除去します。これらはサニタイザー設定でできるかどうかにかかわらず除去対象となります。

options.sanitizer 引数でサニタイザーの構成が指定されていない場合、setHTML() は既定の Sanitizer 構成で実行されます。 この構成では、XSS に安全と見なされるすべての要素と属性が許可され、安全でないと見なされるエンティティは許可されません。 独自のサニタイザーまたはサニタイザー設定を指定することで、許可または除去される要素、属性、コメントを選択できます。 なお、サニタイザー設定で安全でないオプションが許可されている場合でも、このメソッドを使用すると(暗黙的に Sanitizer.removeUnsafe() が呼び出されるため)、それらは除去されます。

信頼できない HTML 文字列を要素に挿入する際は、Element.innerHTML の代わりに setHTML() を使用しましょう。 また、安全でない要素や属性が仕様上できる必要がある場合を除き、Element.setHTMLUnsafe() の代わりに使用しましょう。

なお、このメソッドは入力文字列を常に XSS 攻撃に脆弱なエンティティからサニタイズするため、信頼型 API によるセキュリティ保護や検証は行われません。

基本的な使い方

この例は、setHTML() を使用して HTML 文字列をサニタイズし、挿入するいくつかの方法を示します。

js
// HTML のサニタイズされていない文字列を定義 const unsanitizedString = "abc <script>alert(1)<" + "/script> def"; // ID が "target" の対象要素を取得 const target = document.getElementById("target"); // setHTML() を既定のサニタイザーで実行 target.setHTML(unsanitizedString); // 独自のサニタイザーを定義し、 setHTML() で使用 // これは要素のみを許可します。 div, p, button (script は安全ではないので削除される) const sanitizer1 = new Sanitizer({ elements: ["div", "p", "button", "script"], }); target.setHTML(unsanitizedString, { sanitizer: sanitizer1 }); // 独自の SanitizerConfig を setHTML() 内で定義 // これにより、div、p、button、script、およびその他の安全でない要素/属性が除去される target.setHTML(unsanitizedString, { sanitizer: { removeElements: ["div", "p", "button", "script"] }, });

setHTML() ライブサンプル

この例では、異なるサニタイザーで呼び出される際のメソッドの「ライブ」デモを提供します。 コードでは、既定のサニタイザーと独自のサニタイザーを使用して、それぞれ HTML 文字列をサニタイズおよび挿入するためのボタンを定義しています。 元の文字列とサニタイズされた HTML はログに記録されるため、それぞれの結果を確認できます。

HTML

この HTML では、異なるサニタイザーを適用するための 2 つの <button> 要素、例をリセットするための別のボタン、および文字列を挿入するための <div> 要素を定義しています。

html
<button id="buttonDefault" type="button">既定</button> <button id="buttonAllowScript" type="button">allowScript</button> <button id="reload" type="button">再読み込み</button> <div id="target">ターゲット要素の元のコンテンツ</div>
<pre id="log"></pre>
#log { height: 220px; overflow: scroll; padding: 0.5rem; border: 1px solid black; margin: 5px; }

JavaScript

const logElement = document.querySelector("#log"); function log(text) { logElement.textContent += text; }
if ("Sanitizer" in window) {

まず、すべてのケースで共通となる、サニタイズ対象の文字列を定義します。 これには <script> 要素と onclick ハンドラーが含まれており、いずれも XSS に対して安全でないとされています。 同時に、再読み込みボタンのハンドラーも定義します。

js
// HTML の安全でない文字列を定義 const unsanitizedString = ` <div> <p>This is a paragraph. <button onclick="alert('You clicked the button!')">Click me</button></p> <script src="path/to/a/module.js" type="module"><script> </div> `; const reload = document.querySelector("#reload"); reload.addEventListener("click", () => document.location.reload());

次に、既定のサニタイザーで HTML を設定するボタンのクリックハンドラーを定義します。 これにより、HTML 文字列を挿入する前に、すべて的安全でないエンティティが除去されます。 Sanitizer() コンストラクターの例で、どの要素が除去されるかを正確に確認できます。

js
const defaultSanitizerButton = document.querySelector("#buttonDefault"); defaultSanitizerButton.addEventListener("click", () => { // 要素のコンテンツを既定のサニタイザーを使用して設定 target.setHTML(unsanitizedString); // サニタイズ前と挿入後の HTML をログ出力する logElement.textContent = "Default sanitizer: remove script element and onclick attribute\n\n"; log(`\nunsanitized: ${unsanitizedString}`); log(`\nsanitized: ${target.innerHTML}`); });

次のクリックハンドラーは、独自のサニタイザーを使ってターゲット HTML を設定します。このサニタイザーは、<div><p><script> 要素のみが許可されるように設定します。 setHTML メソッドを使用しているため、 <script> も同時に除去されることに注意してください。

js
const allowScriptButton = document.querySelector("#buttonAllowScript"); allowScriptButton.addEventListener("click", () => { // 独自のサニタイザーを使用して要素のコンテンツを設定 const sanitizer1 = new Sanitizer({ elements: ["div", "p", "script"], }); target.setHTML(unsanitizedString, { sanitizer: sanitizer1 }); // サニタイズ前と挿入後の HTML をログ出力 logElement.textContent = "Sanitizer: {elements: ['div', 'p', 'script']}\n Script removed even though allowed\n"; log(`\nunsanitized: ${unsanitizedString}`); log(`\nsanitized: ${target.innerHTML}`); });
} else { log("HTML サニタイザー API はこのブラウザーは対応していません。"); // フォールバックまたは代替動作を指定 }

結果

「既定」と「allowScript」ボタンをクリックすると、それぞれ既定のサニタイザーと独自のサニタイザーの効果を確認できます。 いずれの場合も、サニタイザーで明示的に許可した場合でも、<script> 要素と onclick ハンドラーは除去されることに注意してください。

仕様書

Specification
HTML Sanitizer API
# dom-element-sethtml

ブラウザーの互換性

Enable JavaScript to view this browser compatibility table.

関連情報

Help improve MDN

Was this page helpful to you?
Yes No
Learn how to contribute

This page was last modified on 2025年9月25日 by MDN contributors.

View this page on GitHubReport a problem with this content
  1. HTML Sanitizer API
  2. Element
  3. インスタンスプロパティ
    1. ariaActiveDescendantElement
    2. ariaAtomic
    3. ariaAutoComplete
    4. ariaBrailleLabel
    5. ariaBrailleRoleDescription
    6. ariaBusy
    7. ariaChecked
    8. ariaColCount
    9. ariaColIndex
    10. ariaColIndexText
    11. ariaColSpan
    12. ariaControlsElements
    13. ariaCurrent
    14. ariaDescribedByElements
    15. ariaDescription
    16. ariaDetailsElements
    17. ariaDisabled
    18. ariaErrorMessageElements
    19. ariaExpanded
    20. ariaFlowToElements
    21. ariaHasPopup
    22. ariaHidden
    23. ariaInvalid
    24. ariaKeyShortcuts
    25. ariaLabel
    26. ariaLabelledByElements
    27. ariaLevel
    28. ariaLive
    29. ariaModal
    30. ariaMultiLine
    31. ariaMultiSelectable
    32. ariaOrientation
    33. ariaOwnsElements
    34. ariaPlaceholder
    35. ariaPosInSet
    36. ariaPressed
    37. ariaReadOnly
    38. ariaRelevant
    39. ariaRequired
    40. ariaRoleDescription
    41. ariaRowCount
    42. ariaRowIndex
    43. ariaRowIndexText
    44. ariaRowSpan
    45. ariaSelected
    46. ariaSetSize
    47. ariaSort
    48. ariaValueMax
    49. ariaValueMin
    50. ariaValueNow
    51. ariaValueText
    52. assignedSlot
    53. attributes
    54. childElementCount
    55. children
    56. classList
    57. className
    58. clientHeight
    59. clientLeft
    60. clientTop
    61. clientWidth
    62. currentCSSZoom
    63. customElementRegistry
    64. elementTiming
    65. firstElementChild
    66. id
    67. innerHTML
    68. lastElementChild
    69. localName
    70. namespaceURI
    71. nextElementSibling
    72. outerHTML
    73. part
    74. prefix
    75. previousElementSibling
    76. role
    77. scrollHeight
    78. scrollLeft
    79. scrollLeftMax
    80. scrollTop
    81. scrollTopMax
    82. scrollWidth
    83. shadowRoot
    84. slot
    85. tagName
  4. インスタンスメソッド
    1. after()
    2. animate()
    3. append()
    4. ariaNotify()
    5. attachShadow()
    6. before()
    7. checkVisibility()
    8. closest()
    9. computedStyleMap()
    10. getAnimations()
    11. getAttribute()
    12. getAttributeNames()
    13. getAttributeNode()
    14. getAttributeNodeNS()
    15. getAttributeNS()
    16. getBoundingClientRect()
    17. getClientRects()
    18. getElementsByClassName()
    19. getElementsByTagName()
    20. getElementsByTagNameNS()
    21. getHTML()
    22. hasAttribute()
    23. hasAttributeNS()
    24. hasAttributes()
    25. hasPointerCapture()
    26. insertAdjacentElement()
    27. insertAdjacentHTML()
    28. insertAdjacentText()
    29. matches()
    30. moveBefore()
    31. prepend()
    32. querySelector()
    33. querySelectorAll()
    34. releasePointerCapture()
    35. remove()
    36. removeAttribute()
    37. removeAttributeNode()
    38. removeAttributeNS()
    39. replaceChildren()
    40. replaceWith()
    41. requestFullscreen()
    42. requestPointerLock()
    43. scroll()
    44. scrollBy()
    45. scrollIntoView()
    46. scrollIntoViewIfNeeded()
    47. scrollTo()
    48. setAttribute()
    49. setAttributeNode()
    50. setAttributeNodeNS()
    51. setAttributeNS()
    52. setCapture()
    53. setHTML()
    54. setHTMLUnsafe()
    55. setPointerCapture()
    56. toggleAttribute()
  5. イベント
    1. afterscriptexecute
    2. animationcancel
    3. animationend
    4. animationiteration
    5. animationstart
    6. auxclick
    7. beforeinput
    8. beforematch
    9. beforescriptexecute
    10. beforexrselect
    11. blur
    12. click
    13. compositionend
    14. compositionstart
    15. compositionupdate
    16. contentvisibilityautostatechange
    17. contextmenu
    18. copy
    19. cut
    20. dblclick
    21. DOMActivate
    22. DOMMouseScroll
    23. focus
    24. focusin
    25. focusout
    26. fullscreenchange
    27. fullscreenerror
    28. gesturechange
    29. gestureend
    30. gesturestart
    31. gotpointercapture
    32. input
    33. keydown
    34. keypress
    35. keyup
    36. lostpointercapture
    37. mousedown
    38. mouseenter
    39. mouseleave
    40. mousemove
    41. mouseout
    42. mouseover
    43. mouseup
    44. mousewheel
    45. MozMousePixelScroll
    46. paste
    47. pointercancel
    48. pointerdown
    49. pointerenter
    50. pointerleave
    51. pointermove
    52. pointerout
    53. pointerover
    54. pointerrawupdate
    55. pointerup
    56. scroll
    57. scrollend
    58. scrollsnapchange
    59. scrollsnapchanging
    60. securitypolicyviolation
    61. touchcancel
    62. touchend
    63. touchmove
    64. touchstart
    65. transitioncancel
    66. transitionend
    67. transitionrun
    68. transitionstart
    69. webkitmouseforcechanged
    70. webkitmouseforcedown
    71. webkitmouseforceup
    72. webkitmouseforcewillbegin
    73. wheel
  6. 継承
    1. Node
    2. EventTarget
  7. HTML Sanitizer API に関連するページ
    1. Document.parseHTMLUnsafe_static()
    2. Document.parseHTML_static()
    3. Element.setHTML()
    4. Element.setHTMLUnsafe()
    5. Sanitizer
    6. SanitizerConfig
    7. ShadowRoot.setHTML()
    8. ShadowRoot.setHTMLUnsafe()
  8. ガイド
    1. Using the HTML Sanitizer API
    2. Default sanitizer configuration

Your blueprint for a better internet.

MDN Contribute Developers

Visit Mozilla Corporation’s not-for-profit parent, the Mozilla Foundation.
Portions of this content are ©1998–2026 by individual mozilla.org contributors. Content available under a Creative Commons license.