Рендеринг необработанного HTML с реагированием

154

Так что это единственный способ рендеринга необработанного HTML с помощью ответной реакции?

// http://facebook.github.io/react/docs/tutorial.html
// tutorial7.js
var converter = new Showdown.converter();
var Comment = React.createClass({
  render: function() {
    var rawMarkup = converter.makeHtml(this.props.children.toString());
    return (
      <div className="comment">
        <h2 className="commentAuthor">
          {this.props.author}
        </h2>
        <span dangerouslySetInnerHTML={{__html: rawMarkup}} />
      </div>
    );
  }
});

Я знаю, что есть несколько отличных способов разметить вещи с помощью JSX, но я в основном заинтересован в возможности рендеринга необработанного HTML (со всеми классами, встроенными стилями и т. Д.). Что-то сложное, как это:

<!-- http://getbootstrap.com/components/#dropdowns-example -->
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>

Я не хотел бы переписывать все это в JSX.

Может быть, я думаю об этом все неправильно. Пожалуйста, поправьте меня.

javascript reactjs

— vinhboy
источник

1

Это почти JSX. Если вы визуализируете большую часть разметки в виде необработанного HTML, вы теряете преимущество использования такой библиотеки, как React. Я бы порекомендовал сделать небольшие изменения (например, «class» -> «className»), чтобы позволить React обрабатывать элементы.

— Росс Аллен

2

Для этого конкретного примера кто-то уже проделал работу за вас , однако вопрос все еще стоит за общим случаем.

— Рэнди Моррис

medium.com/@to_pe/...

— TechDog

43

Вы можете использовать html-to-reactмодуль npm.

Примечание: я являюсь автором модуля и только что опубликовал его несколько часов назад. Пожалуйста, не стесняйтесь сообщать о любых ошибках или проблемах юзабилити.

— Майк Никлес
источник

24

использует ли он опасно SetInnerHTML для внутреннего использования?

— Яш Шарма

2

Я только что проверил код. Кажется, он не использует опасно SetInnerHTML.

— Аджай

Майк, ты все еще активно поддерживаешь этот модуль npm?

— Даниэль

Привет, Дэниел, я не знаю, и один из авторов взял его и опубликовал последний релиз 7 месяцев назад. См. Github.com/aknuds1/html-to-react

— Майк Никлес,

Это не использует опасно SetInnerHTML.

— Tessaracter

186

Теперь есть более безопасные методы для рендеринга HTML. Я рассмотрел это в предыдущем ответе здесь . У вас есть 4 варианта, последний использует dangerouslySetInnerHTML.

Методы рендеринга HTML

Самый простой - используйте Unicode, сохраните файл как UTF-8 и установите charsetUTF-8.

<div>{'First · Second'}</div>
Безопаснее - используйте номер Unicode для объекта внутри строки Javascript.

<div>{'First \u00b7 Second'}</div>

или

<div>{'First ' + String.fromCharCode(183) + ' Second'}</div>
Или смешанный массив со строками и элементами JSX.

<div>{['First ', <span>·</span>, ' Second']}</div>
Последнее прибежище - вставьте необработанный HTML с помощью dangerouslySetInnerHTML.

<div dangerouslySetInnerHTML={{__html: 'First · Second'}} />

— Бретт ДеВуди
источник

Все, что мне нужно, это 3 или 4

— Nicolas S.Xu

интересно, какие другие атрибуты получает dangerouslySetInnerHTMLкроме __html

— Хуан Солано,

30

Я люблю эти темы ... Неявно: "Делай все, что можешь, чтобы не использовать # 4". Все: «№4 работал отлично!»

— углубление

1

@JuanSolano нет, согласно автозаполнению записей в среде TypeScript.

— Андреас Линнерт

В аналогичном вопросе stackoverflow.com/questions/19266197/… этот ответ не слишком хорош. Может быть, это лучше подходит для этого вопроса, или, возможно, люди не читают ответ ...: D

— 425nesp

27

Я использовал это в быстрых и грязных ситуациях:

// react render method:

render() {
    return (
      <div>
        { this.props.textOrHtml.indexOf('</') !== -1
            ? (
                <div dangerouslySetInnerHTML={{__html: this.props.textOrHtml.replace(/(<? *script)/gi, 'illegalscript')}} >
                </div>
              )
            : this.props.textOrHtml
          }

      </div>
      )
  }

— Кори Робинсон
источник

7

Это не безопасно - что, если HTML содержит <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" onload="alert('test');">?

— Yjwong

11

Это безопасно, если вы контролируете рендеринг HTML-кода

— Джон

18

Я пробовал этот чистый компонент:

const RawHTML = ({children, className = ""}) => 
<div className={className}
  dangerouslySetInnerHTML={{ __html: children.replace(/\n/g, '<br />')}} />

Характеристики

Принимает classNameопору (проще стилизовать)
Заменяет \nна <br />(вы часто хотите это сделать)
Место содержание , как дети при использовании компонента , как:
<RawHTML>{myHTML}</RawHTML>

Я поместил компонент в Gist на Github: RawHTML: ReactJS чистый компонент для визуализации HTML

— Netsi1964
источник

13

dangerouslySetInnerHTML - это замена React для использования innerHTML в DOM браузера. В общем, настройка HTML из кода рискованна, потому что легко непреднамеренно подвергнуть ваших пользователей атаке межсайтового скриптинга (XSS).

Лучше / безопаснее санировать ваш необработанный HTML (используя, например, DOMPurify), прежде чем вводить его в DOM через dangerouslySetInnerHTML.

DOMPurify - сверхбыстрое, сверхустойчивое дезинфицирующее средство XSS только для DOM, для HTML, MathML и SVG. DOMPurify работает с безопасным значением по умолчанию, но предлагает множество настроек и возможностей.

Пример :

import React from 'react'
import createDOMPurify from 'dompurify'
import { JSDOM } from 'jsdom'

const window = (new JSDOM('')).window
const DOMPurify = createDOMPurify(window)

const rawHTML = `
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>
`

const YourComponent = () => (
  <div>
    { <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(rawHTML) }} /> }
  </div>
)

export default YourComponent

— Юйцы
источник

Это именно то, что я искал в этом ответе. Должно быть больше голосов

— llamerr

12

export class ModalBody extends Component{
    rawMarkup(){
        var rawMarkup = this.props.content
        return { __html: rawMarkup };
    }
    render(){
        return(
                <div className="modal-body">
                     <span dangerouslySetInnerHTML={this.rawMarkup()} />

                </div>
            )
    }
}

— Jozcar
источник

Вышеупомянутая работа для меня, я передавал html модальному телу.

— Jozcar

6

Я использовал эту библиотеку под названием Parser . Это сработало для того, что мне было нужно.

import React, { Component } from 'react';    
import Parser from 'html-react-parser';

class MyComponent extends Component {
  render() {
    <div>{Parser(this.state.message)}</div>
  }
};

— ecairol
источник

3

21 КБ (8 КБ разархивированы). Я не мог оправдать это для кода браузера.

— Питер Бенгтссон

эта библиотека ломает мое приложение Expo

— ekkis

5

dangerouslySetInnerHTMLне должен использоваться, если это абсолютно необходимо. Согласно документам, «Это в основном для сотрудничества с библиотеками манипулирования строками DOM» . Когда вы используете его, вы отказываетесь от преимуществ управления DOM от React.

В вашем случае довольно просто преобразовать в правильный синтаксис JSX; просто измените classатрибуты на className. Или, как упоминалось в комментариях выше, вы можете использовать библиотеку ReactBootstrap, которая инкапсулирует элементы Bootstrap в компоненты React.

— Брено Феррейра
источник

8

Спасибо за Ваш ответ. Я понимаю последствия использования innerHTML для безопасности и знаю, что могу преобразовать его в JSX. Но я специально спрашиваю о поддержке React для использования необработанных фрагментов HTML.

— vinhboy

Что именно вы подразумеваете под «поддержкой React использования необработанных фрагментов HTML»?

— Брено Феррейра

2

Вот немного менее самоуверенная версия функции RawHTML, опубликованная ранее. Это позволяет вам:

настроить тег
при желании заменить символы новой строки на <br />s
передать дополнительные реквизиты, которые RawHTML передаст созданному элементу
предоставить пустую строку ( RawHTML></RawHTML>)

Вот этот компонент:

const RawHTML = ({ children, tag = 'div', nl2br = true, ...rest }) =>
    React.createElement(tag, {
        dangerouslySetInnerHTML: {
            __html: nl2br
                ? children && children.replace(/\n/g, '<br />')
                : children,
        },
        ...rest,
    });
RawHTML.propTypes = {
    children: PropTypes.string,
    nl2br: PropTypes.bool,
    tag: PropTypes.string,
};

Использование:

<RawHTML>{'First &middot; Second'}</RawHTML>
<RawHTML tag="h2">{'First &middot; Second'}</RawHTML>
<RawHTML tag="h2" className="test">{'First &middot; Second'}</RawHTML>
<RawHTML>{'first line\nsecond line'}</RawHTML>
<RawHTML nl2br={false}>{'first line\nsecond line'}</RawHTML>
<RawHTML></RawHTML>

Вывод:

<div>First · Second</div>
<h2>First · Second</h2>
<h2 class="test">First · Second</h2>
<div>first line<br>second line</div>
<div>first line
second line</div>
<div></div>

Это сломается на:

<RawHTML><h1>First &middot; Second</h1></RawHTML>

— Кристиан Вестербик
источник

0

Мне нужно было использовать ссылку с атрибутом onLoad в моей голове, где div не разрешен, поэтому это вызвало у меня сильную боль. Мой текущий обходной путь - закрыть исходный тег сценария, сделать то, что мне нужно, затем открыть тег сценария (чтобы он был закрыт оригиналом). Надеюсь, это поможет кому-то, у кого нет другого выбора:

<script dangerouslySetInnerHTML={{ __html: `</script>
   <link rel="preload" href="https://fonts.googleapis.com/css?family=Open+Sans" as="style" onLoad="this.onload=null;this.rel='stylesheet'" crossOrigin="anonymous"/>
<script>`,}}/>

— Адам Лейн
источник