Ответы:
Если вы работаете в браузере, то самый простой способ - просто позволить браузеру сделать это за вас ...
function stripHtml(html)
{
var tmp = document.createElement("DIV");
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}Примечание: как отмечают люди в комментариях, этого лучше избегать, если вы не контролируете источник HTML (например, не запускайте его на чем-либо, что могло бы быть получено из пользовательского ввода). Для этих сценариев вы все равно можете позволить браузеру сделать всю работу за вас - см. Ответ Сабы об использовании теперь широко доступного DOMParser .
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
myString.replace(/<[^>]*>?/gm, '');<img src=http://www.google.com.kh/images/srpr/nav_logo27.png onload="alert(42)" если вы вводите через document.writeили объединяете строку, содержащую >перед введением через innerHTML.
>во втором останется. Это не опасность для инъекций. Опасность возникает из-за <левого в первом, что приводит к тому, что анализатор HTML находится в контексте, отличном от состояния данных, при запуске второго. Обратите внимание, что нет перехода из состояния данных в >.
<button onClick="dostuff('>');"></button>Допущения правильно написанного HTML вы все равно должны принять во внимание, что знак «больше» может быть где-то в цитируемом тексте атрибута. Также вы хотели бы удалить весь текст внутри <script>тегов, по крайней мере.
Самый простой способ:
jQuery(html).text();Это извлекает весь текст из строки HTML.
Я хотел бы поделиться отредактированной версией Shog9 утвержденного ответа «s .
В виде отметил Майк Сэмюэл с комментарием, эта функция может выполнять встроенные коды JavaScript.
Но Shog9 прав, когда говорит "пусть браузер сделает это за вас ..."
так .. вот моя отредактированная версия, используя DOMParser :
function strip(html){
var doc = new DOMParser().parseFromString(html, 'text/html');
return doc.body.textContent || "";
}вот код для проверки встроенного JavaScript:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")Кроме того, он не запрашивает ресурсы при разборе (например, изображения)
strip("Just text <img src='https://assets.rbl.ms/4155638/980x.jpg'>")В качестве расширения метода jQuery, если ваша строка может не содержать HTML (например, если вы пытаетесь удалить HTML из поля формы)
jQuery(html).text();`вернет пустую строку, если нет HTML
Использование:
jQuery('<p>' + html + '</p>').text();вместо.
Обновление:
Как было отмечено в комментариях, в некоторых случаях это решение будет выполнять javascript, содержащийся в нем, htmlесли htmlзлоумышленник может повлиять на значение, используйте другое решение.
$("<p>").html(html).text();
jQuery('<span>Text :) <img src="a" onerror="alert(1)"></span>').text()
Вышеупомянутая функция, опубликованная Hypoxide, работает нормально, но я хотел кое-что, что в основном конвертировало бы HTML, созданный в редакторе Web RichText (например, FCKEditor), и очищало весь HTML, но оставляло все ссылки, потому что я хотел и HTML, и текстовая версия, помогающая создавать правильные части электронной почты STMP (как HTML, так и обычный текст).
После долгого поиска в Google я и мои коллеги придумали это с помощью движка регулярных выражений в Javascript:
str='this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>
';
str=str.replace(/<br>/gi, "\n");
str=str.replace(/<p.*>/gi, "\n");
str=str.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<(?:.|\s)*?>/g, "");strпеременная начинается так:
this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>и после запуска кода это выглядит так:
this string has html code i want to remove
Link Number 1 -> BBC (Link->http://www.bbc.co.uk) Link Number 1
Now back to normal text and stuffКак вы можете видеть, весь HTML был удален, а Ссылка с гиперссылкой была сохранена. Кроме того, я заменил <p>и <br>тег с\n новым строкой (полукоксом) , так что какое - то визуальное форматирования было сохранено.
Чтобы изменить формат ссылки (например, BBC (Link->http://www.bbc.co.uk) ), просто отредактируйте $2 (Link->$1), где $1находится URL / URI href, а $2текст гиперссылки. При наличии ссылок непосредственно в текстовом виде большинство почтовых клиентов SMTP преобразуют их, чтобы пользователь мог щелкнуть по ним.
Надеюсь, вы найдете это полезным.
Улучшение принятого ответа.
function strip(html)
{
var tmp = document.implementation.createHTMLDocument("New").body;
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}Таким образом, что-то вроде этого не принесет вреда:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")Firefox, Chromium и Explorer 9+ безопасны. Опера Престо по-прежнему уязвима. Также изображения, упомянутые в строках, не загружаются в Chromium и Firefox, сохраняя http-запросы.
<script><script>alert();
Это должно делать работу в любой среде Javascript (включая NodeJS).
const text = `
<html lang="en">
<head>
<style type="text/css">*{color:red}</style>
<script>alert('hello')</script>
</head>
<body><b>This is some text</b><br/><body>
</html>`;
// Remove style tags and content
text.replace(/<style[^>]*>.*<\/style>/gm, '')
// Remove script tags and content
.replace(/<script[^>]*>.*<\/script>/gm, '')
// Remove all opening, closing and orphan HTML tags
.replace(/<[^>]+>/gm, '')
// Remove leading spaces and repeated CR/LF
.replace(/([\r\n]+ +)+/gm, '');<html><style..>* {font-family:comic-sans;}</style>Some Text</html>
Я изменил ответ Jibberboy2000, включив в него несколько <BR />форматов тегов, удалив все внутри <SCRIPT>и <STYLE>теги, отформатировав полученный HTML, удалив несколько разрывов строк и пробелов, и преобразовав код в формате HTML в обычный. После некоторого тестирования выясняется, что вы можете преобразовать большинство полных веб-страниц в простой текст, в котором сохраняются заголовок и содержимое страницы.
В простом примере
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<!--comment-->
<head>
<title>This is my title</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style>
body {margin-top: 15px;}
a { color: #D80C1F; font-weight:bold; text-decoration:none; }
</style>
</head>
<body>
<center>
This string has <i>html</i> code i want to <b>remove</b><br>
In this line <a href="http://www.bbc.co.uk">BBC</a> with link is mentioned.<br/>Now back to "normal text" and stuff using <html encoding>
</center>
</body>
</html>становится
Это мой титул
Эта строка имеет HTML-код, который я хочу удалить
В этой строке упоминается BBC ( http://www.bbc.co.uk ) со ссылкой.
Теперь вернемся к «нормальному тексту» и прочему
Функция JavaScript и тестовая страница выглядят так:
function convertHtmlToText() {
var inputText = document.getElementById("input").value;
var returnText = "" + inputText;
//-- remove BR tags and replace them with line break
returnText=returnText.replace(/<br>/gi, "\n");
returnText=returnText.replace(/<br\s\/>/gi, "\n");
returnText=returnText.replace(/<br\/>/gi, "\n");
//-- remove P and A tags but preserve what's inside of them
returnText=returnText.replace(/<p.*>/gi, "\n");
returnText=returnText.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 ($1)");
//-- remove all inside SCRIPT and STYLE tags
returnText=returnText.replace(/<script.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/script>/gi, "");
returnText=returnText.replace(/<style.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/style>/gi, "");
//-- remove all else
returnText=returnText.replace(/<(?:.|\s)*?>/g, "");
//-- get rid of more than 2 multiple line breaks:
returnText=returnText.replace(/(?:(?:\r\n|\r|\n)\s*){2,}/gim, "\n\n");
//-- get rid of more than 2 spaces:
returnText = returnText.replace(/ +(?= )/g,'');
//-- get rid of html-encoded characters:
returnText=returnText.replace(/ /gi," ");
returnText=returnText.replace(/&/gi,"&");
returnText=returnText.replace(/"/gi,'"');
returnText=returnText.replace(/</gi,'<');
returnText=returnText.replace(/>/gi,'>');
//-- return
document.getElementById("output").value = returnText;
}Он был использован с этим HTML:
<textarea id="input" style="width: 400px; height: 300px;"></textarea><br />
<button onclick="convertHtmlToText()">CONVERT</button><br />
<textarea id="output" style="width: 400px; height: 300px;"></textarea><br />/<p.*>/giдолжно быть /<p.*?>/gi.
<br>тегов вы можете использовать хорошее регулярное выражение вместо этого: /<br\s*\/?>/таким образом у вас есть только один заменить вместо 3. Кроме того, мне кажется , что для декодирования лиц , за исключением вы можете иметь один регулярное выражение, что - то вроде этого: /<[a-z].*?\/?>/.
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");Это версия регулярного выражения, которая более устойчива к искаженному HTML, например:
Незакрытые теги
Some text <img
"<", ">" внутри атрибутов тега
Some text <img alt="x > y">
Newlines
Some <a
href="http://google.com">
Код
var html = '<br>This <img alt="a>b" \r\n src="a_b.gif" />is > \nmy<>< > <a>"text"</a'
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");Другое, по общему признанию, менее изящное решение, чем nickf или Shog9, было бы рекурсивно обходить DOM, начиная с тега <body>, и добавлять каждый текстовый узел.
var bodyContent = document.getElementsByTagName('body')[0];
var result = appendTextNodes(bodyContent);
function appendTextNodes(element) {
var text = '';
// Loop through the childNodes of the passed in element
for (var i = 0, len = element.childNodes.length; i < len; i++) {
// Get a reference to the current child
var node = element.childNodes[i];
// Append the node's value if it's a text node
if (node.nodeType == 3) {
text += node.nodeValue;
}
// Recurse through the node's children, if there are any
if (node.childNodes.length > 0) {
appendTextNodes(node);
}
}
// Return the final result
return text;
}Если вы хотите сохранить ссылки и структуру содержимого (h1, h2 и т. Д.), Вам следует проверить TextVersionJS. Вы можете использовать его с любым HTML, хотя он был создан для преобразования электронного письма HTML в простой текст.
Использование очень просто. Например, в файле node.js:
var createTextVersion = require("textversionjs");
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);Или в браузере с чистым js:
<script src="textversion.js"></script>
<script>
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
</script>Это также работает с require.js:
define(["textversionjs"], function(createTextVersion) {
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
});После проверки всех упомянутых ответов, большинство из них, если не все, имели крайние случаи и не могли полностью удовлетворить мои потребности.
Я начал изучать, как это делает php, и наткнулся на библиотеку php.js, которая копирует метод strip_tags: http://phpjs.org/functions/strip_tags/
allowed == ''я думаю, это то, о чем просил ОП, а это почти то, что Байрон ответил ниже (Байрон только [^>]ошибся.)
allowedпараметр, вы уязвимы для XSS: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')возвращается<p onclick="alert(1)">mytext</p>
function stripHTML(my_string){
var charArr = my_string.split(''),
resultArr = [],
htmlZone = 0,
quoteZone = 0;
for( x=0; x < charArr.length; x++ ){
switch( charArr[x] + htmlZone + quoteZone ){
case "<00" : htmlZone = 1;break;
case ">10" : htmlZone = 0;resultArr.push(' ');break;
case '"10' : quoteZone = 1;break;
case "'10" : quoteZone = 2;break;
case '"11' :
case "'12" : quoteZone = 0;break;
default : if(!htmlZone){ resultArr.push(charArr[x]); }
}
}
return resultArr.join('');
}Учет> внутри атрибутов и <img onerror="javascript">во вновь созданных элементах dom.
Применение:
clean_string = stripHTML("string with <html> in it")демо:
https://jsfiddle.net/gaby_de_wilde/pqayphzd/
демо топ-ответа, делающего ужасные вещи:
string with <a malicious="attribute \">this text should be removed, but is not">example</a>).
Многие уже ответили на это, но я подумал, что было бы полезно поделиться функцией, которую я написал, которая удаляет HTML-теги из строки, но позволяет вам включать массив тегов, которые вы не хотите удалять. Он довольно короткий и хорошо работает для меня.
function removeTags(string, array){
return array ? string.split("<").filter(function(val){ return f(array, val); }).map(function(val){ return f(array, val); }).join("") : string.split("<").map(function(d){ return d.split(">").pop(); }).join("");
function f(array, value){
return array.map(function(d){ return value.includes(d + ">"); }).indexOf(true) != -1 ? "<" + value : value.split(">")[1];
}
}
var x = "<span><i>Hello</i> <b>world</b>!</span>";
console.log(removeTags(x)); // Hello world!
console.log(removeTags(x, ["span", "i"])); // <span><i>Hello</i> world!</span>Я думаю, что самый простой способ - просто использовать регулярные выражения, как кто-то упоминал выше. Хотя нет смысла использовать кучу из них. Пытаться:
stringWithHTML = stringWithHTML.replace(/<\/?[a-z][a-z0-9]*[^<>]*>/ig, "");[^<>]с , [^>]поскольку действительный тег не может содержать <символ, то уязвимость XSS исчезает.
Я внес некоторые изменения в оригинальный скрипт Jibberboy2000. Надеюсь, он кому-нибудь пригодится
str = '**ANY HTML CONTENT HERE**';
str=str.replace(/<\s*br\/*>/gi, "\n");
str=str.replace(/<\s*a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<\s*\/*.+?>/ig, "\n");
str=str.replace(/ {2,}/gi, " ");
str=str.replace(/\n+\s*/gi, "\n\n");Вот версия, которая решает проблему безопасности @ MikeSamuel:
function strip(html)
{
try {
var doc = document.implementation.createDocument('http://www.w3.org/1999/xhtml', 'html', null);
doc.documentElement.innerHTML = html;
return doc.documentElement.textContent||doc.documentElement.innerText;
} catch(e) {
return "";
}
}Обратите внимание, что он вернет пустую строку, если разметка HTML не является допустимым XML (иначе, теги должны быть закрыты, а атрибуты должны быть в кавычках). Это не идеально, но избегает проблемы использования потенциала безопасности.
Если вам не нужна действительная разметка XML, попробуйте использовать:
var doc = document.implementation.createHTMLDocument("");но это не идеальное решение и по другим причинам.
Вы можете безопасно удалить HTML-теги, используя атрибут песочницы iframe .
Идея здесь состоит в том, что вместо того, чтобы пытаться пересмотреть нашу строку, мы используем преимущества встроенного синтаксического анализатора браузера, вставляя текст в элемент DOM и затем запрашивая textContent/innerText свойство этого элемента.
Лучше всего подходящим элементом для вставки нашего текста является вставленный в песочную форму iframe, таким образом мы можем предотвратить любое выполнение произвольного кода (также известный как XSS ).
Недостатком этого подхода является то, что он работает только в браузерах.
Вот что я придумала (не проверено в бою):
const stripHtmlTags = (() => {
const sandbox = document.createElement("iframe");
sandbox.sandbox = "allow-same-origin"; // <--- This is the key
sandbox.style.setProperty("display", "none", "important");
// Inject the sanbox in the current document
document.body.appendChild(sandbox);
// Get the sandbox's context
const sanboxContext = sandbox.contentWindow.document;
return (untrustedString) => {
if (typeof untrustedString !== "string") return "";
// Write the untrusted string in the iframe's body
sanboxContext.open();
sanboxContext.write(untrustedString);
sanboxContext.close();
// Get the string without html
return sanboxContext.body.textContent || sanboxContext.body.innerText || "";
};
})();Использование ( демо ):
console.log(stripHtmlTags(`<img onerror='alert("could run arbitrary JS here")' src='bogus'>XSS injection :)`));
console.log(stripHtmlTags(`<script>alert("awdawd");</` + `script>Script tag injection :)`));
console.log(stripHtmlTags(`<strong>I am bold text</strong>`));
console.log(stripHtmlTags(`<html>I'm a HTML tag</html>`));
console.log(stripHtmlTags(`<body>I'm a body tag</body>`));
console.log(stripHtmlTags(`<head>I'm a head tag</head>`));
console.log(stripHtmlTags(null));letи constоператорами. Кроме того, используя ваше решение, я получил множество ссылок на iframesнеиспользованные внутри документа. Подумайте о том, чтобы добавить document.body.removeChild(sandbox)код в код для будущих читателей, использующих копии.
Код ниже позволяет вам сохранить некоторые HTML-теги, удаляя все остальные
function strip_tags(input, allowed) {
allowed = (((allowed || '') + '')
.toLowerCase()
.match(/<[a-z][a-z0-9]*>/g) || [])
.join(''); // making sure the allowed arg is a string containing only tags in lowercase (<a><b><c>)
var tags = /<\/?([a-z][a-z0-9]*)\b[^>]*>/gi,
commentsAndPhpTags = /<!--[\s\S]*?-->|<\?(?:php)?[\s\S]*?\?>/gi;
return input.replace(commentsAndPhpTags, '')
.replace(tags, function($0, $1) {
return allowed.indexOf('<' + $1.toLowerCase() + '>') > -1 ? $0 : '';
});
}phpjs). Если вы используете allowedпараметр, вы уязвимы для XSS: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')возвращается<p onclick="alert(1)">mytext</p>
Также можно использовать фантастический HTML-парсер htmlparser2 pure JS. Вот рабочая демонстрация:
var htmlparser = require('htmlparser2');
var body = '<p><div>This is </div>a <span>simple </span> <img src="test"></img>example.</p>';
var result = [];
var parser = new htmlparser.Parser({
ontext: function(text){
result.push(text);
}
}, {decodeEntities: true});
parser.write(body);
parser.end();
result.join('');Выход будет This is a simple example.
Смотрите это в действии здесь: https://tonicdev.com/jfahrenkrug/extract-text-from-html
Это работает как в узле, так и в браузере, если вы упаковываете свое веб-приложение с помощью такого инструмента, как веб-пакет.
Мне просто нужно было удалить <a>теги и заменить их текстом ссылки.
Кажется, это отлично работает.
htmlContent= htmlContent.replace(/<a.*href="(.*?)">/g, '');
htmlContent= htmlContent.replace(/<\/a>/g, '');title="...".
Для более простого решения попробуйте это => https://css-tricks.com/snippets/javascript/strip-html-tags-in-javascript/
var StrippedString = OriginalString.replace(/(<([^>]+)>)/ig,"");простые 2 строки JQuery, чтобы раздеть HTML.
var content = "<p>checking the html source </p><p>
</p><p>with </p><p>all</p><p>the html </p><p>content</p>";
var text = $(content).text();//It gets you the plain text
console.log(text);//check the data in your console
cj("#text_area_id").val(text);//set your content to text area using text_area_idПринятый ответ работает в основном нормально, однако в IE, если htmlстрока, nullвы получаете "null"(вместо ''). Исправлена:
function strip(html)
{
if (html == null) return "";
var tmp = document.createElement("DIV");
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}inputЭлемент поддерживает только одну строку текста :
Текстовое состояние представляет собой однострочный текстовый элемент управления для редактирования значения элемента.
function stripHtml(str) {
var tmp = document.createElement('input');
tmp.value = str;
return tmp.value;
}Обновление: это работает как ожидалось
function stripHtml(str) {
// Remove some tags
str = str.replace(/<[^>]+>/gim, '');
// Remove BB code
str = str.replace(/\[(\w+)[^\]]*](.*?)\[\/\1]/g, '$2 ');
// Remove html and line breaks
const div = document.createElement('div');
div.innerHTML = str;
const input = document.createElement('input');
input.value = div.textContent || div.innerText || '';
return input.value;
} (function($){
$.html2text = function(html) {
if($('#scratch_pad').length === 0) {
$('<div id="lh_scratch"></div>').appendTo('body');
}
return $('#scratch_pad').html(html).text();
};
})(jQuery);Определите это как плагин jquery и используйте его следующим образом:
$.html2text(htmlContent);