用reactjs渲染原始html

Question

用reactjs渲染原始html

那么这是用reactjs渲染原始html的唯一方法吗？

// http://facebook.github.io/react/docs/tutorial.html
// tutorial7.js
var converter = new Showdown.converter();
var Comment = React.createClass({
  render: function() {
    var rawMarkup = converter.makeHtml(this.props.children.toString());
    return (
      <div className="comment">
        <h2 className="commentAuthor">
          {this.props.author}
        </h2>
        <span dangerouslySetInnerHTML={{__html: rawMarkup}} />
      </div>
    );
  }
});

Run Code Online (Sandbox Code Playgroud)

我知道有一些很酷的方法来标记JSX的东西,但我主要感兴趣的是能够渲染原始的html(包括所有类,内联样式等).像这样复杂的东西:

<!-- http://getbootstrap.com/components/#dropdowns-example -->
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>

Run Code Online (Sandbox Code Playgroud)

我不想在JSX中重写所有这些内容.

也许我在想这一切都错了.请指正.

Answer 1

Bre*_*ody 163

现在有更安全的方法来呈现HTML.我在前面的回答包括在本这里.您有4个选项,最后一次使用dangerouslySetInnerHTML.

呈现HTML的方法

最简单 - 使用Unicode,将文件保存为UTF-8并将其设置charset为UTF-8.

<div>{'First · Second'}</div>
更安全 - 在Javascript字符串中使用Unicode编号.

<div>{'First \u00b7 Second'}</div>

要么

<div>{'First ' + String.fromCharCode(183) + ' Second'}</div>
或者是带有字符串和JSX元素的混合数组.

<div>{['First ', <span>·</span>, ' Second']}</div>
最后的手段 - 使用原始HTML插入dangerouslySetInnerHTML.

<div dangerouslySetInnerHTML={{__html: 'First · Second'}} />

`dangerouslySetInnerHTML`就像一个魅力 (31认同)
我喜欢这些线程...隐式地：“尽一切可能不使用＃4”。每个人：“＃4表现出色！” (11认同)
人们对于危险的SetInnerHtml 的态度会变得不正常。虽然开发人员应该了解它如何“潜在”成为 XSS 攻击的载体，但在一些有效的用例中，这是合理的实用方法，特别是在您设置的 html 不是由用户输入形成或由经过净化的 html 形成的情况下用户输入。如果您了解 HTML 并且有理由将其存储在变量或其他内容中，那么这是迄今为止最优雅的方法。 (6认同)
想知道除了 __html 之外还有哪些属性接收 `dangerouslySetInnerHTML` (2认同)

Answer 2

Yuc*_*uci 39

risklySetInnerHTML是 React 在浏览器 DOM 中使用 innerHTML 的替代品。一般来说，从代码中设置 HTML 是有风险的，因为很容易在不经意间将用户暴露给跨站点脚本 (XSS) 攻击。

在通过dangerouslySetInnerHTML.

DOMPurify - 用于 HTML、MathML 和 SVG 的仅 DOM、超快、超容忍 XSS 清理程序。DOMPurify 使用安全的默认设置，但提供了许多可配置性和挂钩。

示例：

import React from 'react'
import createDOMPurify from 'dompurify'
import { JSDOM } from 'jsdom'

const window = (new JSDOM('')).window
const DOMPurify = createDOMPurify(window)

const rawHTML = `
<div class="dropdown">
  <button class="btn btn-default dropdown-toggle" type="button" id="dropdownMenu1" data-toggle="dropdown" aria-expanded="true">
    Dropdown
    <span class="caret"></span>
  </button>
  <ul class="dropdown-menu" role="menu" aria-labelledby="dropdownMenu1">
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Another action</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Something else here</a></li>
    <li role="presentation"><a role="menuitem" tabindex="-1" href="#">Separated link</a></li>
  </ul>
</div>
`

const YourComponent = () => (
  <div>
    { <div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(rawHTML) }} /> }
  </div>
)

export default YourComponent

Run Code Online (Sandbox Code Playgroud)

这正是我在这个答案中寻找的内容。应该有更多的赞成票 (3认同)

Answer 3

Mik*_*les 35

您可以html-to-react在https://www.npmjs.com/package/html-to-react上使用npm模块.

注意:我是该模块的作者,几小时前刚刚发布.请随时报告任何错误或可用性问题.

它在内部使用dangerouslySetInnerHTML吗？ (19认同)
这是臃肿的并且使用 ramda 等和大型库 - 我不推荐 (8认同)
我刚刚检查了代码。它似乎没有危险地使用SetInnerHTML。 (2认同)

Answer 4

Cor*_*son 22

我在快速和肮脏的情况下使用它:

// react render method:

render() {
    return (
      <div>
        { this.props.textOrHtml.indexOf('</') !== -1
            ? (
                <div dangerouslySetInnerHTML={{__html: this.props.textOrHtml.replace(/(<? *script)/gi, 'illegalscript')}} >
                </div>
              )
            : this.props.textOrHtml
          }

      </div>
      )
  }

Run Code Online (Sandbox Code Playgroud)

如果您可以控制正在呈现的 HTML，那么这是安全的 (25认同)
这不安全 - 如果HTML包含```<img rel="nofollow noreferrer" src ="data:image/gif; base64,R0lGODlhAQABAIAAAAAAAP /// yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"onload ="alert('test');">``` (6认同)

Answer 5

Net*_*964 13

我试过这个纯组件:

const RawHTML = ({children, className = ""}) => 
<div className={className}
  dangerouslySetInnerHTML={{ __html: children.replace(/\n/g, '<br />')}} />

Run Code Online (Sandbox Code Playgroud)

特征

采取className道具(更容易设计)
替换\n到<br />(你经常想这样做)
使用组件时将内容作为子项放置,如:
<RawHTML>{myHTML}</RawHTML>

我已经将组件放在Github的Gist中:RawHTML:ReactJS纯组件来呈现HTML

Answer 6

Joz*_*car 12

export class ModalBody extends Component{
    rawMarkup(){
        var rawMarkup = this.props.content
        return { __html: rawMarkup };
    }
    render(){
        return(
                <div className="modal-body">
                     <span dangerouslySetInnerHTML={this.rawMarkup()} />

                </div>
            )
    }
}

Run Code Online (Sandbox Code Playgroud)

Answer 7

Bre*_*ira 5

dangerouslySetInnerHTML除非绝对必要，否则请勿使用。根据文档，“这主要是用于与DOM字符串操作库进行协作”。使用它时，您将放弃React的DOM管理的好处。

就您而言，转换为有效的JSX语法非常简单；只需将class属性更改为即可className。或者，如上面的评论所述，您可以使用ReactBootstrap库，该库将Bootstrap元素封装到React组件中。

感谢您的回答。我了解使用innerHTML的安全隐患，并且知道可以将其转换为JSX。但是我特别询问的是React对使用原始HTML代码段的支持。 (7认同)

Answer 8

eca*_*rol 5

我使用了这个名为Parser的库。它可以满足我的需求。

import React, { Component } from 'react';    
import Parser from 'html-react-parser';

class MyComponent extends Component {
  render() {
    <div>{Parser(this.state.message)}</div>
  }
};

Run Code Online (Sandbox Code Playgroud)

21KB（压缩后的8KB）。对于浏览器代码，我无法证明这一点。 (3认同)

归档时间：	10 年，7 月前
查看次数：	186309 次
最近记录：	6 年前