Element: setHTMLUnsafe() Methode

input

Ein String oder eine TrustedHTML-Instanz, die das zu parsende HTML definiert.

options Optional

Ein Optionsobjekt mit den folgenden optionalen Parametern:

sanitizer Optional

Ein Sanitizer oder SanitizerConfig Objekt, welches definiert, welche Elemente des Eingabe-Strings erlaubt oder entfernt werden. Beachten Sie, dass im Allgemeinen ein "Sanitizer effizienter erwartet wird als ein SanitizerConfig, wenn die Konfiguration wiederverwendet werden soll. Wenn nicht angegeben, wird kein Sanitizer verwendet.

Keiner (undefined).

TypeError

Dieser wird geworfen, wenn:

• input ein String ist, während Trusted Types von einer CSP erzwungen werden und keine Standardrichtlinie definiert ist.
• options.sanitizer eine:
  • einen Wert, der kein Sanitizer, SanitizerConfig oder String ist.
  • nicht normalisierte SanitizerConfig (eine, die sowohl "erlaubte" als auch "entfernte" Konfigurationseinstellungen enthält).
  • String, der nicht den Wert "default" hat.

Die setHTMLUnsafe() Methode wird verwendet, um einen HTML-String in ein DocumentFragment zu parsen, optional unerwünschte Elemente und Attribute und solche, die nicht in den Kontext gehören, herauszufiltern, und es dann zu verwenden, um den Teilbaum des Elements im DOM zu ersetzen.

Das Suffix "Unsafe" im Methodennamen zeigt an, dass die Methode zwar ermöglicht, den Eingabe-String von unerwünschten HTML-Entitäten zu filtern, sie jedoch nicht die Bereinigung oder Entfernung potenziell unsicherer XSS-bezogener Eingaben, wie z. B.