innerHTML アプリケーション

innerHTML アプリケーション

ブランクのブログ: http://www.planabc.net/
innerHTML プロパティは、HTML 要素の内容を完全に置き換える簡単な方法を提供するため、非常によく使用されます。別の方法としては、DOM レベル 2 API (removeChild、createElement、appendChild) を使用する方法があります。しかし、innerHTML を使用して DOM ツリーを変更するのは非常に簡単で効果的な方法であることは明らかです。ただし、innerHTML には独自の問題があることに注意する必要があります。
    HTML 文字列に defer としてマークされたスクリプト タグ (<script defer>…</script>) が含まれている場合、innerHTML 属性が適切に処理されないと、Internet Explorer でスクリプト インジェクション攻撃が発生する可能性があります。 innerHTML を設定すると、イベント ハンドラーが登録されている既存の HTML 要素が破壊され、一部のブラウザーでメモリ リークが発生する可能性があります。

他にも言及する価値のある小さな欠点がいくつかあります。
    作成した要素への参照を取得することはできません。それらの参照を取得するには、コードを手動で追加する必要があります (DOM API を使用)。 すべてのブラウザのすべての HTML 要素に innerHTML プロパティを設定することはできません (たとえば、Internet Explorer では、テーブル行要素に innerHTML プロパティを設定することはできません)。

私は、innerHTML プロパティの使用に関連するセキュリティとメモリの問題をより懸念しています。明らかに、これらは新しい問題ではなく、すでにこれらの問題のいくつかを回避する方法を考え出した賢明な人々がいます。
Douglas Crockford 氏は、HTML 要素に登録されたイベント ハンドラーによって発生する循環参照を解消し、ガベージ コレクターがこれらの HTML 要素に関連付けられたメモリを解放できるようにするクリーンアップ関数を作成しました。
HTML 文字列からスクリプト タグを削除するのは、見た目ほど簡単ではありません。正規表現は期待どおりの動作をする可能性がありますが、すべての可能性がカバーされているかどうかを知ることは困難です。これが私の解決策です:
/<script[^>]*>[\S\s]*?<\/script[^>]*>/ig
ここで、これら 2 つの手法を 1 つの setInnerHTML 関数に組み合わせ、setInnerHTML 関数を YUI の YAHOO.util.Dom にバインドしてみましょう。
YAHOO.util.Dom.setInnerHTML = 関数 (el, html) {
el = YAHOO.util.Dom.get(el);
if (!el || typeof html !== 'string') {
null を返します。
}
// 循環参照を解除する
(関数 (o) {
var a = o.attributes、i、l、n、c;
もし(a){
l = a.長さ;
(i = 0; i < l; i = 1) の場合 {
n = a[i].名前;
if (typeof o[n] === 'function') {
o[n] = null;
}
}
}
o.childNodes を継承します。
もし(a){
l = a.長さ;
(i = 0; i < l; i = 1) の場合 {
c = o.childNodes[i];
// 子ノードをクリアする
引数.callee(c);
// YUI の addListener を通じて要素に登録されたすべてのリスナーを削除します
YAHOO.util.Event.purgeElement(c);
}
}
})(エル);
// HTML文字列からスクリプトを削除し、innerHTMLプロパティを設定します
el.innerHTML = html.replace(/<script[^>]*>[\S\s]*?<\/script[^>]*>/ig, "");
// 最初の子ノードへの参照を返す
el.firstChild を返します。
};
この関数に必要な他のものがある場合、または正規表現に何か不足しているものがある場合は、お知らせください。
明らかに、Web ページに悪意のあるコードを挿入する方法は他にもたくさんあります。 setInnerHTML 関数は、すべての A グレード ブラウザーでのみ <script> タグの実行動作を正規化します。信頼できない HTML コードを挿入する予定がある場合は、まずサーバー上でフィルタリングするようにしてください。これを実行できるライブラリは多数あります。
元記事: Julien Lecomte による innerHTML の問題

<<:  MySQL が暗黙のデフォルト値を処理する方法

>>:  Dockerコンテナ内で2つのプロセスを開始するときのDockerfile実装コード

推薦する

ウェブページで任意のフォントを使用する実践的な操作とデモ

以前、「Web ページにシステムに組み込まれていないフォントを埋め込む」という研究をしたことがありま...

シンプルなスネークゲームを実現するネイティブjs

この記事では、スネークゲームを実装するためのjsの具体的なコードを参考までに共有します。具体的な内容...

Mysql ルートユーザーアカウントのパスワードをリセットする問題を解決する

問題の説明: mysqladmin.exe を使用してコマンドを実行すると、次のエラー メッセージが...

MySQL で lower_case_table_names を記録する際の落とし穴の詳細な説明

1 原因プロジェクトがデータベースを移行して再起動した後、「T_AAAテーブルが存在しません」という...

MySQL データベースで機密データの暗号化と復号化を実装する方法

目次1. 準備2. MySQL暗号化関数方式2.1 MySQL 暗号化2.2 MYSQL 復号化3....

停止したすべてのDockerコンテナを1つのコマンドで再起動する

停止したすべてのDockerコンテナを1つのコマンドで再起動するdocker ps -a | gre...

期間限定フラッシュセール機能を実現するJavaScriptタイマー

この記事では、期間限定フラッシュセール機能を実装するためのJavaScriptの具体的なコードを参考...

CSSの省略記号とパディングを組み合わせた場合の問題の詳細な説明

CSS によるテキストの切り捨てテキストを自動的に切り捨てるスタイル コードを実装するには、次のコー...

1行のコードでLinuxのプロセスを隠す方法を学ぶ

友人たちはいつも、Linux のプロセスを隠す方法を私に尋ねます。私は、どの程度隠したいのか、カーネ...

ミニプログラムにより、製品属性の選択や仕様の選択が可能

この記事では、ミニプログラムで製品属性選択または仕様選択を実装するための具体的なコードを参考までに共...

CentOS 6 ZLMediaKit のコンパイルとインストール分析

Centos6にZLMediaKitをインストールするZLMediaKit の作者は Ubuntu ...

JavaScriptは4桁のランダム検証コードの生成を実装します

この記事の例では、JavaScriptで4桁のランダムな検証コードを生成する具体的なコードを参考まで...

js でショッピングモールのシミュレーションを実現

HTML、CSS、JSフロントエンドを学習中の皆さん、今回はショッピングモールの事例の実装をシェアし...

テーブル関連の配置とJavascript操作テーブル、tr、td

適切に機能するテーブル プロパティ設定:コードをコピーコードは次のとおりです。 <テーブル セ...

MySQL トランザクション分離レベルと MVCC の詳細な説明

目次トランザクション分離レベル同時トランザクション実行中に発生した問題SQL標準の4つの分離レベルM...