React.js: установить innerHTML против опасного SetInnerHTML

172

Есть ли какое-то "закулисное" отличие от установки элемента innerHTML против установки свойства dangerouslySetInnerHTML для элемента? Предположим, я правильно дезинфицирую вещи ради простоты.

Пример:

var test = React.createClass({
  render: function(){
    return (
      <div contentEditable='true' dangerouslySetInnerHTML={{ __html: "Hello" }}></div>
    );
  }
});

против

var test = React.createClass({
  componentDidUpdate: function(prevProp, prevState){
    this.refs.test.innerHTML = "Hello";
  },
  render: function(){
    return (
      <div contentEditable='true' ref='test'></div>
    );
  }
});

Я делаю что-то более сложное, чем приведенный выше пример, но общая идея та же

javascript html reactjs

— Jshoe523
источник

238

Да, есть разница!

Непосредственный эффект использования innerHTMLvs. dangerouslySetInnerHTMLидентичен - узел DOM обновится с введенным HTML.

Однако за кулисами, когда вы используете dangerouslySetInnerHTMLего, React знает, что HTML внутри этого компонента не то, о чем он заботится.

Поскольку React использует виртуальный DOM, когда он сравнивает diff с фактическим DOM, он может обойти проверку дочерних узлов этого узла, поскольку он знает, что HTML-код поступает из другого источника . Так что есть повышение производительности.

Что еще более важно , если вы просто используете innerHTML, React не сможет узнать, был ли изменен узел DOM. В следующий раз, когда renderфункция будет вызвана, React перезапишет содержимое, которое было введено вручную, с тем, что, по его мнению, должно быть правильным состоянием этого узла DOM.

componentDidUpdateЯ считаю, что ваше решение использовать для обеспечения синхронизации контента всегда будет работать, но при каждом рендеринге может возникать вспышка.

— Фрэнсис Джон
источник

11

Я написал небольшой ненаучный перф тест, чтобы показать разницу между встраиванием SVG и использованием dangerouslySetInnerHTML: webpackbin.com/bins/-KepHa-AMxQgGxOUnAac - настраивает метод innerHTML почти в два раза быстрее (см. Консоль в webpackbin)

— Йоша

4

Это правда и легко предсказать. Так как innerHTML является нативным методом, который связывает код SVG напрямую с DOM, не рассматривая ничего. С другой стороны, dangerouslySetInnerHTML - это метод, полученный из React, для того, чтобы SVG-код нужно было проанализировать как дочерние компоненты React, прежде чем поместить их в виртуальный DOM и затем отобразить в DOM.

— Up209d

3

Согласно Опасно указанному innerHTML ,

Неправильное использование innerHTMLможет открыть вас для атаки межсайтового скриптинга (XSS) . Обеззараживание пользовательского ввода для отображения, как известно, подвержено ошибкам, а отсутствие надлежащей дезинфекции является одной из основных причин веб-уязвимостей в Интернете.

Наша философия проектирования заключается в том, что сделать вещи безопасными должно быть «легко», и разработчики должны четко указать свое намерение при выполнении «небезопасных» операций. Название реквизита dangerouslySetInnerHTMLнамеренно выбрано как пугающее, и значение реквизита (объект вместо строки) можно использовать для обозначения очищенных данных.

После полного понимания последствий для безопасности и правильной очистки данных создайте новый объект, содержащий в качестве значения только ключ __htmlи ваши очищенные данные. Вот пример использования синтаксиса JSX:

function createMarkup() {
    return {
       __html: 'First &middot; Second'    };
 }; 

<div dangerouslySetInnerHTML={createMarkup()} />

Узнайте больше об этом, используя ссылку ниже:

Документация : Реагировать на DOM Elements - опасно SetInnerHTML .

— Ганеш Санап
источник

1

Это не отвечает на вопрос.

— Квентин

2

Основано на ( опасно SetInnerHTML ).

Это опора, которая делает именно то, что вы хотите. Однако они называют его, чтобы передать, что его следует использовать с осторожностью

— Джейсон
источник

1

хорошо согласно документам кажется, что это единственная причина, все еще запутанная

— mkb