ブランクのブログ: http://www.planabc.net/ innerHTML プロパティは、HTML 要素の内容を完全に置き換える簡単な方法を提供するため、非常によく使用されます。別の方法としては、DOM レベル 2 API (removeChild、createElement、appendChild) を使用する方法があります。しかし、innerHTML を使用して DOM ツリーを変更するのは非常に簡単で効果的な方法であることは明らかです。ただし、innerHTML には独自の問題があることに注意する必要があります。
他にも言及する価値のある小さな欠点がいくつかあります。
私は、innerHTML プロパティの使用に関連するセキュリティとメモリの問題をより懸念しています。明らかに、これらは新しい問題ではなく、すでにこれらの問題のいくつかを回避する方法を考え出した賢明な人々がいます。 Douglas Crockford 氏は、HTML 要素に登録されたイベント ハンドラーによって発生する循環参照を解消し、ガベージ コレクターがこれらの HTML 要素に関連付けられたメモリを解放できるようにするクリーンアップ関数を作成しました。 HTML 文字列からスクリプト タグを削除するのは、見た目ほど簡単ではありません。正規表現は期待どおりの動作をする可能性がありますが、すべての可能性がカバーされているかどうかを知ることは困難です。これが私の解決策です: /<script[^>]*>[\S\s]*?<\/script[^>]*>/ig ここで、これら 2 つの手法を 1 つの setInnerHTML 関数に組み合わせ、setInnerHTML 関数を YUI の YAHOO.util.Dom にバインドしてみましょう。 YAHOO.util.Dom.setInnerHTML = 関数 (el, html) { el = YAHOO.util.Dom.get(el); if (!el || typeof html !== 'string') { null を返します。 } // 循環参照を解除する (関数 (o) { var a = o.attributes、i、l、n、c; もし(a){ l = a.長さ; (i = 0; i < l; i = 1) の場合 { n = a[i].名前; if (typeof o[n] === 'function') { o[n] = null; } } } o.childNodes を継承します。 もし(a){ l = a.長さ; (i = 0; i < l; i = 1) の場合 { c = o.childNodes[i]; // 子ノードをクリアする 引数.callee(c); // YUI の addListener を通じて要素に登録されたすべてのリスナーを削除します YAHOO.util.Event.purgeElement(c); } } })(エル); // HTML文字列からスクリプトを削除し、innerHTMLプロパティを設定します el.innerHTML = html.replace(/<script[^>]*>[\S\s]*?<\/script[^>]*>/ig, ""); // 最初の子ノードへの参照を返す el.firstChild を返します。 }; この関数に必要な他のものがある場合、または正規表現に何か不足しているものがある場合は、お知らせください。 明らかに、Web ページに悪意のあるコードを挿入する方法は他にもたくさんあります。 setInnerHTML 関数は、すべての A グレード ブラウザーでのみ <script> タグの実行動作を正規化します。信頼できない HTML コードを挿入する予定がある場合は、まずサーバー上でフィルタリングするようにしてください。これを実行できるライブラリは多数あります。 元記事: Julien Lecomte による innerHTML の問題 |
>>: Dockerコンテナ内で2つのプロセスを開始するときのDockerfile実装コード
以前、「Web ページにシステムに組み込まれていないフォントを埋め込む」という研究をしたことがありま...
この記事では、スネークゲームを実装するためのjsの具体的なコードを参考までに共有します。具体的な内容...
問題の説明: mysqladmin.exe を使用してコマンドを実行すると、次のエラー メッセージが...
1 原因プロジェクトがデータベースを移行して再起動した後、「T_AAAテーブルが存在しません」という...
目次1. 準備2. MySQL暗号化関数方式2.1 MySQL 暗号化2.2 MYSQL 復号化3....
停止したすべてのDockerコンテナを1つのコマンドで再起動するdocker ps -a | gre...
この記事では、期間限定フラッシュセール機能を実装するためのJavaScriptの具体的なコードを参考...
CSS によるテキストの切り捨てテキストを自動的に切り捨てるスタイル コードを実装するには、次のコー...
友人たちはいつも、Linux のプロセスを隠す方法を私に尋ねます。私は、どの程度隠したいのか、カーネ...
この記事では、ミニプログラムで製品属性選択または仕様選択を実装するための具体的なコードを参考までに共...
Centos6にZLMediaKitをインストールするZLMediaKit の作者は Ubuntu ...
この記事の例では、JavaScriptで4桁のランダムな検証コードを生成する具体的なコードを参考まで...
HTML、CSS、JSフロントエンドを学習中の皆さん、今回はショッピングモールの事例の実装をシェアし...
適切に機能するテーブル プロパティ設定:コードをコピーコードは次のとおりです。 <テーブル セ...
目次トランザクション分離レベル同時トランザクション実行中に発生した問題SQL標準の4つの分離レベルM...