Dokument: parseHTMLUnsafe() statische Methode

input

Ein String oder eine TrustedHTML Instanz, die das zu parsende HTML definiert.

options Optional

Ein Options-Objekt mit den folgenden optionalen Parametern:

sanitizer Optional

Ein Sanitizer oder SanitizerConfig Objekt, das definiert, welche Elemente der Eingabe erlaubt oder entfernt werden. Beachten Sie, dass im Allgemeinen ein Sanitizer effizienter ist als eine SanitizerConfig, wenn die Konfiguration wiederverwendet werden soll. Wenn nicht angegeben, wird kein Sanitizer verwendet.

Ein Document.

TypeError

Diese Ausnahme wird ausgelöst, wenn:

• html ein String übergeben wird, während Trusted Types durch eine CSP erzwungen werden und keine Standardrichtlinie definiert ist.
• options.sanitizer einen:
  • Wert erhält, der nicht ein Sanitizer, SanitizerConfig oder String ist.
  • nicht-normalisierte SanitizerConfig enthält (eine, die sowohl "erlaubte" als auch "entfernte" Konfigurationseinstellungen enthält).
  • String erhält, der nicht den Wert "default" hat.

Die parseHTMLUnsafe() statische Methode kann verwendet werden, um eine neue Document Instanz zu erstellen und dabei unerwünschte Elemente und Attribute optional herauszufiltern. Das resultierende Document wird einen content type von "text/html", einen character set von UTF-8 und eine URL von "about:blank" haben.

Das Suffix "Unsafe" im Methodennamen weist darauf hin, dass die Methode zwar die Eingabestrings von unerwünschten HTML-Entitäten filtern kann, jedoch nicht die Sanitierung oder Entfernung von potenziell unsicherem XSS-relevantem Input erzwingt. Wenn keine Sanitizer-Konfiguration im options.sanitizer Parameter angegeben ist, wird parseHTMLUnsafe() ohne irgendwelche Sanitierung verwendet. Beachten Sie, dass