React:使用 dangerouslySetInnerHTML 插入时脚本标签不起作用
React: Script tag not working when inserted using dangerouslySetInnerHTML
我试图在 React 中使用 dangerouslySetInnerHTML 属性 设置从我的服务器发送的 html 显示在 div 中。我在里面也有脚本标签,并使用在 html 中定义的函数。我在 JSFiddle here.
中做了错误示例
这是测试代码:
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
var Hello = React.createClass({
displayName: 'Hello',
render: function() {
return (<div dangerouslySetInnerHTML={{__html: x}} />);
}
});
我检查过脚本标签已添加到 DOM,但无法调用该脚本标签中定义的函数。如果这不是正确的方式,我可以通过其他方式注入脚本标签的内容。
这里有一些肮脏的完成方式,
关于这里发生的事情的一些解释,您通过正则表达式提取脚本内容,并且仅使用 react 呈现 html,然后在安装组件后,脚本标记中的内容是 运行全局范围。
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
var extractscript=/<script>(.+)<\/script>/gi.exec(x);
x=x.replace(extractscript[0],"");
var Hello = React.createClass({
displayName: 'Hello',
componentDidMount: function() {
// this runs the contents in script tag on a window/global scope
window.eval(extractscript[1]);
},
render: function() {
return (<div dangerouslySetInnerHTML={{__html: x}} />);
}
});
ReactDOM.render(
React.createElement(Hello),
document.getElementById('container')
);
Dasith 对未来观点的回答的一点扩展...
我有一个非常相似的问题,但在我的情况下,我从服务器端获得了 HTML,这花了一段时间(报告解决方案的一部分,后端将报告呈现给 html)
所以我所做的非常相似,只是我在 componentWillMount() 函数中处理了脚本 运行:
import React from 'react';
import jsreport from 'jsreport-browser-client-dist'
import logo from './logo.svg';
import './App.css';
class App extends React.Component {
constructor() {
super()
this.state = {
report: "",
reportScript: ""
}
}
componentWillMount() {
jsreport.serverUrl = 'http://localhost:5488';
let reportRequest = {template: {shortid: 'HJH11D83ce'}}
// let temp = "this is temp"
jsreport.renderAsync(reportRequest)
.then(res => {
let htmlResponse = res.toString()
let extractedScript = /<script>[\s\S]*<\/script>/g.exec(htmlResponse)[0];
// console.log('html is: ',htmlResponse)
// console.log('script is: ',extractedScript)
this.setState({report: htmlResponse})
this.setState({reportScript: extractedScript})
})
}
render() {
let report = this.state.report
return (
<div className="App">
<div className="App-header">
<img src={logo} className="App-logo" alt="logo"/>
<h2>Welcome to React</h2>
</div>
<div id="reportPlaceholder">
<div dangerouslySetInnerHTML={{__html: report}}/>
</div>
</div>
);
}
componentDidUpdate() {
// this runs the contents in script tag on a window/global scope
let scriptToRun = this.state.reportScript
if (scriptToRun !== undefined) {
//remove <script> and </script> tags since eval expects only code without html tags
let scriptLines = scriptToRun.split("\n")
scriptLines.pop()
scriptLines.shift()
let cleanScript = scriptLines.join("\n")
console.log('running script ',cleanScript)
window.eval(cleanScript)
}
}
}
export default App;
希望这对您有所帮助...
我认为您不需要在此处使用串联 (+)。
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
我认为你可以这样做:
var x = '<html><script>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</script><body><p onClick="pClicked()">Hello</p></body></html>';
反正已经传给dangerouslySetInnerHTML了。
但让我们回到问题上来。您不需要使用正则表达式来访问脚本标签的内容。如果添加id属性,例如<script id="myId">...</script>,就可以轻松访问元素。
让我们看一个这样的实现的例子。
const x = `
<html>
<script id="myScript">
alert("this.is.sparta");
function pClicked() {console.log("p is clicked");}
</script>
<body>
<p onClick="pClicked()">Hello</p>
</body>
</html>
`;
const Hello = React.createClass({
displayName: 'Hello',
componentDidMount() {
const script = document.getElementById('myScript').innerHTML;
window.eval(script);
}
render() {
return <div dangerouslySetInnerHTML={{__html: x}} />;
}
});
如果你有多个脚本,你可以添加一个数据属性,例如[data-my-script],然后使用jQuery:
访问它
const x = `
<html>
<script data-my-script="">
alert("this.is.sparta");
function pClicked() {console.log("p is clicked");}
</script>
<script data-my-script="">
alert("another script");
</script>
<body>
<p onClick="pClicked()">Hello</p>
</body>
</html>
`;
const Hello = React.createClass({
constructor(props) {
super(props);
this.helloElement = null;
}
displayName: 'Hello',
componentDidMount() {
$(this.helloElement).find('[data-my-script]').each(function forEachScript() {
const script = $(this).text();
window.eval(script);
});
}
render() {
return (
<div
ref={helloElement => (this.helloElement = helloElement)}
dangerouslySetInnerHTML={{__html: x}}
/>
);
}
});
在任何情况下,最好避免使用 eval,因此另一种选择是获取文本并使用原始脚本内容附加一个新的脚本标签,而不是调用 eval。
只需使用一些已知的 XSS 技巧即可。我们刚刚遇到了一个案例,我们不得不注入一个脚本,但等不及发布了,所以我们的加载程序就在这里:
<img src onerror="var script = document.createElement('script');script.src = 'http:';document.body.appendChild(script);"/>
我创建了一个 React 组件,它的工作方式与 dangerouslySetInnerHtml 非常相似,但它还执行在 html 字符串上找到的所有 js 代码,检查一下,它可能对您有所帮助:
我试图在 React 中使用 dangerouslySetInnerHTML 属性 设置从我的服务器发送的 html 显示在 div 中。我在里面也有脚本标签,并使用在 html 中定义的函数。我在 JSFiddle here.
中做了错误示例这是测试代码:
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
var Hello = React.createClass({
displayName: 'Hello',
render: function() {
return (<div dangerouslySetInnerHTML={{__html: x}} />);
}
});
我检查过脚本标签已添加到 DOM,但无法调用该脚本标签中定义的函数。如果这不是正确的方式,我可以通过其他方式注入脚本标签的内容。
这里有一些肮脏的完成方式, 关于这里发生的事情的一些解释,您通过正则表达式提取脚本内容,并且仅使用 react 呈现 html,然后在安装组件后,脚本标记中的内容是 运行全局范围。
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
var extractscript=/<script>(.+)<\/script>/gi.exec(x);
x=x.replace(extractscript[0],"");
var Hello = React.createClass({
displayName: 'Hello',
componentDidMount: function() {
// this runs the contents in script tag on a window/global scope
window.eval(extractscript[1]);
},
render: function() {
return (<div dangerouslySetInnerHTML={{__html: x}} />);
}
});
ReactDOM.render(
React.createElement(Hello),
document.getElementById('container')
);
Dasith 对未来观点的回答的一点扩展...
我有一个非常相似的问题,但在我的情况下,我从服务器端获得了 HTML,这花了一段时间(报告解决方案的一部分,后端将报告呈现给 html)
所以我所做的非常相似,只是我在 componentWillMount() 函数中处理了脚本 运行:
import React from 'react';
import jsreport from 'jsreport-browser-client-dist'
import logo from './logo.svg';
import './App.css';
class App extends React.Component {
constructor() {
super()
this.state = {
report: "",
reportScript: ""
}
}
componentWillMount() {
jsreport.serverUrl = 'http://localhost:5488';
let reportRequest = {template: {shortid: 'HJH11D83ce'}}
// let temp = "this is temp"
jsreport.renderAsync(reportRequest)
.then(res => {
let htmlResponse = res.toString()
let extractedScript = /<script>[\s\S]*<\/script>/g.exec(htmlResponse)[0];
// console.log('html is: ',htmlResponse)
// console.log('script is: ',extractedScript)
this.setState({report: htmlResponse})
this.setState({reportScript: extractedScript})
})
}
render() {
let report = this.state.report
return (
<div className="App">
<div className="App-header">
<img src={logo} className="App-logo" alt="logo"/>
<h2>Welcome to React</h2>
</div>
<div id="reportPlaceholder">
<div dangerouslySetInnerHTML={{__html: report}}/>
</div>
</div>
);
}
componentDidUpdate() {
// this runs the contents in script tag on a window/global scope
let scriptToRun = this.state.reportScript
if (scriptToRun !== undefined) {
//remove <script> and </script> tags since eval expects only code without html tags
let scriptLines = scriptToRun.split("\n")
scriptLines.pop()
scriptLines.shift()
let cleanScript = scriptLines.join("\n")
console.log('running script ',cleanScript)
window.eval(cleanScript)
}
}
}
export default App;
希望这对您有所帮助...
我认为您不需要在此处使用串联 (+)。
var x = '<html><scr'+'ipt>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</scr'+'ipt><body><p onClick="pClicked()">Hello</p></body></html>';
我认为你可以这样做:
var x = '<html><script>alert("this.is.sparta");function pClicked() {console.log("p is clicked");}</script><body><p onClick="pClicked()">Hello</p></body></html>';
反正已经传给dangerouslySetInnerHTML了。
但让我们回到问题上来。您不需要使用正则表达式来访问脚本标签的内容。如果添加id属性,例如<script id="myId">...</script>,就可以轻松访问元素。
让我们看一个这样的实现的例子。
const x = `
<html>
<script id="myScript">
alert("this.is.sparta");
function pClicked() {console.log("p is clicked");}
</script>
<body>
<p onClick="pClicked()">Hello</p>
</body>
</html>
`;
const Hello = React.createClass({
displayName: 'Hello',
componentDidMount() {
const script = document.getElementById('myScript').innerHTML;
window.eval(script);
}
render() {
return <div dangerouslySetInnerHTML={{__html: x}} />;
}
});
如果你有多个脚本,你可以添加一个数据属性,例如[data-my-script],然后使用jQuery:
const x = `
<html>
<script data-my-script="">
alert("this.is.sparta");
function pClicked() {console.log("p is clicked");}
</script>
<script data-my-script="">
alert("another script");
</script>
<body>
<p onClick="pClicked()">Hello</p>
</body>
</html>
`;
const Hello = React.createClass({
constructor(props) {
super(props);
this.helloElement = null;
}
displayName: 'Hello',
componentDidMount() {
$(this.helloElement).find('[data-my-script]').each(function forEachScript() {
const script = $(this).text();
window.eval(script);
});
}
render() {
return (
<div
ref={helloElement => (this.helloElement = helloElement)}
dangerouslySetInnerHTML={{__html: x}}
/>
);
}
});
在任何情况下,最好避免使用 eval,因此另一种选择是获取文本并使用原始脚本内容附加一个新的脚本标签,而不是调用 eval。
只需使用一些已知的 XSS 技巧即可。我们刚刚遇到了一个案例,我们不得不注入一个脚本,但等不及发布了,所以我们的加载程序就在这里:
<img src onerror="var script = document.createElement('script');script.src = 'http:';document.body.appendChild(script);"/>
我创建了一个 React 组件,它的工作方式与 dangerouslySetInnerHtml 非常相似,但它还执行在 html 字符串上找到的所有 js 代码,检查一下,它可能对您有所帮助: