Answers:
如果您在浏览器中运行,那么最简单的方法就是让浏览器为您完成...
function stripHtml(html)
{
var tmp = document.createElement("DIV");
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}
注意:正如人们在评论中所指出的那样,如果您不控制HTML的源代码(例如,请勿在可能来自用户输入的任何内容上运行此代码),则最好避免这种情况。对于这些情况,您仍然可以让浏览器为您完成工作- 请参阅Saba关于使用现在广泛使用的DOMParser的答案。
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
myString.replace(/<[^>]*>?/gm, '');
<img src=http://www.google.com.kh/images/srpr/nav_logo27.png onload="alert(42)"
如果要通过via注入document.write
或与包含>
在注入via之前的字符串串接,则无法使用innerHTML
。
>
将保留在第二个位置。不过,这不是注射危险。之所以会发生危险,是因为<
前者遗留在第二个开始时,这导致HTML解析器处于数据状态以外的上下文中。请注意,从到的数据状态没有过渡>
。
<button onClick="dostuff('>');"></button>
假设HTML正确书写”之类的东西,这也将完全引起混淆,您仍然需要考虑到,属性中引用文本中的某个地方可能会出现大于号。另外,您<script>
至少要删除标记内的所有文本。
最简单的方法:
jQuery(html).text();
这将从html字符串中检索所有文本。
我想分享Shog9批准答案的编辑版本。
正如Mike Samuel指出的那样,该函数可以执行内联javascript代码。
但是Shog9说“让浏览器为您做...”时是对的。
所以..这是我使用DOMParser编辑的版本:
function strip(html){
var doc = new DOMParser().parseFromString(html, 'text/html');
return doc.body.textContent || "";
}
这里是测试内联javascript的代码:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
另外,它不要求解析资源(如图像)
strip("Just text <img src='https://assets.rbl.ms/4155638/980x.jpg'>")
作为jQuery方法的扩展,如果您的字符串可能不包含HTML(例如,如果您尝试从表单字段中删除HTML)
jQuery(html).text();`
如果没有HTML,将返回一个空字符串
采用:
jQuery('<p>' + html + '</p>').text();
代替。
更新:
如评论中所指出,在某些情况下,html
如果的值html
可能受到攻击者的影响,则此解决方案将执行其中包含的javascript ,请使用其他解决方案。
$("<p>").html(html).text();
jQuery('<span>Text :) <img src="a" onerror="alert(1)"></span>').text()
由hypoxide发布的上述函数可以正常工作,但是我进行了一些工作,基本上可以转换在Web RichText编辑器(例如FCKEditor)中创建的HTML,并清除所有HTML,但是由于我想要HTML和纯文本版本,以帮助为STMP电子邮件创建正确的部分(HTML和纯文本)。
经过长时间的搜索,我自己和我的同事们都使用Javascript中的正则表达式引擎提出了以下建议:
str='this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>
';
str=str.replace(/<br>/gi, "\n");
str=str.replace(/<p.*>/gi, "\n");
str=str.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<(?:.|\s)*?>/g, "");
该str
变量开始时是这样的:
this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>
然后在代码运行之后,它看起来像这样:-
this string has html code i want to remove
Link Number 1 -> BBC (Link->http://www.bbc.co.uk) Link Number 1
Now back to normal text and stuff
如您所见,所有HTML均已删除,并且链接已被保留,超链接文本仍然完整无缺。另外,我还用(newline char)替换了<p>
and <br>
标签,\n
以便保留某种视觉格式。
要更改链接格式(例如BBC (Link->http://www.bbc.co.uk)
),只需编辑$2 (Link->$1)
,其中$1
hrefURL / URI $2
是,超链接文本是。通过直接在纯文本主体中的链接,大多数SMTP邮件客户端都会将其转换,因此用户可以单击它们。
希望您觉得这个有帮助。
对已接受答案的改进。
function strip(html)
{
var tmp = document.implementation.createHTMLDocument("New").body;
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}
这样一来,像这样运行的东西就不会受到伤害:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
Firefox,Chromium和Explorer 9+是安全的。Opera Presto仍然很脆弱。另外,字符串中提到的图像不会在Chromium和Firefox中下载并保存http请求。
<script><script>alert();
这应该可以在任何Javascript环境(包括NodeJS)上进行。
const text = `
<html lang="en">
<head>
<style type="text/css">*{color:red}</style>
<script>alert('hello')</script>
</head>
<body><b>This is some text</b><br/><body>
</html>`;
// Remove style tags and content
text.replace(/<style[^>]*>.*<\/style>/gm, '')
// Remove script tags and content
.replace(/<script[^>]*>.*<\/script>/gm, '')
// Remove all opening, closing and orphan HTML tags
.replace(/<[^>]+>/gm, '')
// Remove leading spaces and repeated CR/LF
.replace(/([\r\n]+ +)+/gm, '');
<html><style..>* {font-family:comic-sans;}</style>Some Text</html>
我更改了Jibberboy2000的答案,使其包括几种<BR />
标记格式,删除了内部<SCRIPT>
和<STYLE>
标记中的所有内容,通过删除多个换行符和空格来格式化生成的HTML,并将一些HTML编码的代码转换为普通代码。经过一些测试后,您似乎可以将大多数完整网页转换为保留页面标题和内容的简单文本。
在简单的例子中,
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<!--comment-->
<head>
<title>This is my title</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style>
body {margin-top: 15px;}
a { color: #D80C1F; font-weight:bold; text-decoration:none; }
</style>
</head>
<body>
<center>
This string has <i>html</i> code i want to <b>remove</b><br>
In this line <a href="http://www.bbc.co.uk">BBC</a> with link is mentioned.<br/>Now back to "normal text" and stuff using <html encoding>
</center>
</body>
</html>
变成
这是我的头衔
此字符串包含我要删除的html代码
在这一行中,提到了带有链接的BBC(http://www.bbc.co.uk)。
现在回到“普通文本”和使用
JavaScript函数和测试页如下所示:
function convertHtmlToText() {
var inputText = document.getElementById("input").value;
var returnText = "" + inputText;
//-- remove BR tags and replace them with line break
returnText=returnText.replace(/<br>/gi, "\n");
returnText=returnText.replace(/<br\s\/>/gi, "\n");
returnText=returnText.replace(/<br\/>/gi, "\n");
//-- remove P and A tags but preserve what's inside of them
returnText=returnText.replace(/<p.*>/gi, "\n");
returnText=returnText.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 ($1)");
//-- remove all inside SCRIPT and STYLE tags
returnText=returnText.replace(/<script.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/script>/gi, "");
returnText=returnText.replace(/<style.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/style>/gi, "");
//-- remove all else
returnText=returnText.replace(/<(?:.|\s)*?>/g, "");
//-- get rid of more than 2 multiple line breaks:
returnText=returnText.replace(/(?:(?:\r\n|\r|\n)\s*){2,}/gim, "\n\n");
//-- get rid of more than 2 spaces:
returnText = returnText.replace(/ +(?= )/g,'');
//-- get rid of html-encoded characters:
returnText=returnText.replace(/ /gi," ");
returnText=returnText.replace(/&/gi,"&");
returnText=returnText.replace(/"/gi,'"');
returnText=returnText.replace(/</gi,'<');
returnText=returnText.replace(/>/gi,'>');
//-- return
document.getElementById("output").value = returnText;
}
它用于以下HTML:
<textarea id="input" style="width: 400px; height: 300px;"></textarea><br />
<button onclick="convertHtmlToText()">CONVERT</button><br />
<textarea id="output" style="width: 400px; height: 300px;"></textarea><br />
/<p.*>/gi
应该是/<p.*?>/gi
。
<br>
标签,您可以改用一个好的正则表达式:/<br\s*\/?>/
那样,您只需一个替换项即可代替3。另外,在我看来,除了对实体进行解码之外,您还可以有一个正则表达式,如下所示:/<[a-z].*?\/?>/
。
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");
这是一个正则表达式版本,可以更有效地处理格式错误的HTML,例如:
未关闭的标签
Some text <img
标记属性中的“ <”,“>”
Some text <img alt="x > y">
换行符
Some <a
href="http://google.com">
编码
var html = '<br>This <img alt="a>b" \r\n src="a_b.gif" />is > \nmy<>< > <a>"text"</a'
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");
另一个被认为不如nickf或Shog9优雅的解决方案是从<body>标签开始递归遍历DOM并附加每个文本节点。
var bodyContent = document.getElementsByTagName('body')[0];
var result = appendTextNodes(bodyContent);
function appendTextNodes(element) {
var text = '';
// Loop through the childNodes of the passed in element
for (var i = 0, len = element.childNodes.length; i < len; i++) {
// Get a reference to the current child
var node = element.childNodes[i];
// Append the node's value if it's a text node
if (node.nodeType == 3) {
text += node.nodeValue;
}
// Recurse through the node's children, if there are any
if (node.childNodes.length > 0) {
appendTextNodes(node);
}
}
// Return the final result
return text;
}
如果要保留链接和内容的结构(h1,h2等),则应签出TextVersionJS。尽管创建该版本是为了将HTML电子邮件转换为纯文本,但仍可以将其用于任何HTML。
用法很简单。例如在node.js中:
var createTextVersion = require("textversionjs");
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
或在带有纯js的浏览器中:
<script src="textversion.js"></script>
<script>
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
</script>
它也可以与require.js一起使用:
define(["textversionjs"], function(createTextVersion) {
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
});
在尝试了所有提到的所有答案之后,即使不是全部,它们都具有优势,并且不能完全支持我的需求。
我开始探索php的工作方式,并发现了php.js库,该库在此处复制了strip_tags方法:http ://phpjs.org/functions/strip_tags/
allowed == ''
我认为OP要求的时候,它可以做得更快,这几乎是拜伦在下面回答的(拜伦[^>]
错了。)
allowed
参数,则很容易受到XSS的攻击: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')
返回<p onclick="alert(1)">mytext</p>
function stripHTML(my_string){
var charArr = my_string.split(''),
resultArr = [],
htmlZone = 0,
quoteZone = 0;
for( x=0; x < charArr.length; x++ ){
switch( charArr[x] + htmlZone + quoteZone ){
case "<00" : htmlZone = 1;break;
case ">10" : htmlZone = 0;resultArr.push(' ');break;
case '"10' : quoteZone = 1;break;
case "'10" : quoteZone = 2;break;
case '"11' :
case "'12" : quoteZone = 0;break;
default : if(!htmlZone){ resultArr.push(charArr[x]); }
}
}
return resultArr.join('');
}
解释>内部属性和<img onerror="javascript">
新创建的dom元素。
用法:
clean_string = stripHTML("string with <html> in it")
演示:
https://jsfiddle.net/gaby_de_wilde/pqayphzd/
顶级答案演示做了可怕的事情:
string with <a malicious="attribute \">this text should be removed, but is not">example</a>
)。
很多人已经回答了这个问题,但是我认为共享我编写的从字符串中剥离HTML标签但允许您包含不希望剥离的标签数组的功能可能会有用。它很短,对我来说一直很好。
function removeTags(string, array){
return array ? string.split("<").filter(function(val){ return f(array, val); }).map(function(val){ return f(array, val); }).join("") : string.split("<").map(function(d){ return d.split(">").pop(); }).join("");
function f(array, value){
return array.map(function(d){ return value.includes(d + ">"); }).indexOf(true) != -1 ? "<" + value : value.split(">")[1];
}
}
var x = "<span><i>Hello</i> <b>world</b>!</span>";
console.log(removeTags(x)); // Hello world!
console.log(removeTags(x, ["span", "i"])); // <span><i>Hello</i> world!</span>
我认为最简单的方法就是像上面提到的那样使用正则表达式。尽管没有理由使用它们。尝试:
stringWithHTML = stringWithHTML.replace(/<\/?[a-z][a-z0-9]*[^<>]*>/ig, "");
[^<>]
with,[^>]
因为有效标签不能包含<
字符,然后XSS漏洞就会消失。
我对原始的Jibberboy2000脚本进行了一些修改,希望它对某人有用
str = '**ANY HTML CONTENT HERE**';
str=str.replace(/<\s*br\/*>/gi, "\n");
str=str.replace(/<\s*a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<\s*\/*.+?>/ig, "\n");
str=str.replace(/ {2,}/gi, " ");
str=str.replace(/\n+\s*/gi, "\n\n");
这是一个解决@MikeSamuel安全问题的版本:
function strip(html)
{
try {
var doc = document.implementation.createDocument('http://www.w3.org/1999/xhtml', 'html', null);
doc.documentElement.innerHTML = html;
return doc.documentElement.textContent||doc.documentElement.innerText;
} catch(e) {
return "";
}
}
请注意,如果HTML标记不是有效的XML(即标记必须关闭并且属性必须加引号),它将返回一个空字符串。这不是理想的选择,但是确实避免了潜在的安全利用问题。
如果您没有有效的XML标记,则可以尝试使用:
var doc = document.implementation.createHTMLDocument("");
但是由于其他原因,这也不是一个完美的解决方案。
您可以使用iframe沙盒属性安全地删除html标签。
这里的想法是,我们不尝试对字符串进行正则表达式,而是通过将文本注入到DOM元素中,然后查询该元素的textContent
/ innerText
属性来利用浏览器的本机解析器。
最适合插入文本的元素是沙盒iframe,这样我们就可以防止执行任意代码(也称为XSS)。
这种方法的缺点是仅在浏览器中有效。
这是我想出的(未经测试):
const stripHtmlTags = (() => {
const sandbox = document.createElement("iframe");
sandbox.sandbox = "allow-same-origin"; // <--- This is the key
sandbox.style.setProperty("display", "none", "important");
// Inject the sanbox in the current document
document.body.appendChild(sandbox);
// Get the sandbox's context
const sanboxContext = sandbox.contentWindow.document;
return (untrustedString) => {
if (typeof untrustedString !== "string") return "";
// Write the untrusted string in the iframe's body
sanboxContext.open();
sanboxContext.write(untrustedString);
sanboxContext.close();
// Get the string without html
return sanboxContext.body.textContent || sanboxContext.body.innerText || "";
};
})();
用法(演示):
console.log(stripHtmlTags(`<img onerror='alert("could run arbitrary JS here")' src='bogus'>XSS injection :)`));
console.log(stripHtmlTags(`<script>alert("awdawd");</` + `script>Script tag injection :)`));
console.log(stripHtmlTags(`<strong>I am bold text</strong>`));
console.log(stripHtmlTags(`<html>I'm a HTML tag</html>`));
console.log(stripHtmlTags(`<body>I'm a body tag</body>`));
console.log(stripHtmlTags(`<head>I'm a head tag</head>`));
console.log(stripHtmlTags(null));
let
and const
运算符正确地确定了块的范围。另外,使用您的解决方案,我iframes
在文档中得到了很多未使用的参考。考虑document.body.removeChild(sandbox)
为将来的基于复制粘贴的读者在代码中添加。
下面的代码允许您保留一些html标签,同时剥离所有其他标签
function strip_tags(input, allowed) {
allowed = (((allowed || '') + '')
.toLowerCase()
.match(/<[a-z][a-z0-9]*>/g) || [])
.join(''); // making sure the allowed arg is a string containing only tags in lowercase (<a><b><c>)
var tags = /<\/?([a-z][a-z0-9]*)\b[^>]*>/gi,
commentsAndPhpTags = /<!--[\s\S]*?-->|<\?(?:php)?[\s\S]*?\?>/gi;
return input.replace(commentsAndPhpTags, '')
.replace(tags, function($0, $1) {
return allowed.indexOf('<' + $1.toLowerCase() + '>') > -1 ? $0 : '';
});
}
phpjs
)。如果使用allowed
参数,则很容易受到XSS的攻击: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')
返回<p onclick="alert(1)">mytext</p>
也可以使用出色的htmlparser2纯JS HTML解析器。这是一个工作示例:
var htmlparser = require('htmlparser2');
var body = '<p><div>This is </div>a <span>simple </span> <img src="test"></img>example.</p>';
var result = [];
var parser = new htmlparser.Parser({
ontext: function(text){
result.push(text);
}
}, {decodeEntities: true});
parser.write(body);
parser.end();
result.join('');
输出将是 This is a simple example.
在此处查看其运行情况:https : //tonicdev.com/jfahrenkrug/extract-text-from-html
如果您使用webpack之类的工具打包Web应用程序,则此方法在节点和浏览器中均有效。
我只需要剥离<a>
标签,然后将其替换为链接的文本即可。
这看起来很棒。
htmlContent= htmlContent.replace(/<a.*href="(.*?)">/g, '');
htmlContent= htmlContent.replace(/<\/a>/g, '');
title="..."
。
为了获得更简单的解决方案,请尝试以下=> https://css-tricks.com/snippets/javascript/strip-html-tags-in-javascript/
var StrippedString = OriginalString.replace(/(<([^>]+)>)/ig,"");
简单的2行jquery剥离html。
var content = "<p>checking the html source </p><p>
</p><p>with </p><p>all</p><p>the html </p><p>content</p>";
var text = $(content).text();//It gets you the plain text
console.log(text);//check the data in your console
cj("#text_area_id").val(text);//set your content to text area using text_area_id
input
元素仅支持一行文本:
文本状态表示元素值的单行纯文本编辑控件。
function stripHtml(str) {
var tmp = document.createElement('input');
tmp.value = str;
return tmp.value;
}
更新:这按预期工作
function stripHtml(str) {
// Remove some tags
str = str.replace(/<[^>]+>/gim, '');
// Remove BB code
str = str.replace(/\[(\w+)[^\]]*](.*?)\[\/\1]/g, '$2 ');
// Remove html and line breaks
const div = document.createElement('div');
div.innerHTML = str;
const input = document.createElement('input');
input.value = div.textContent || div.innerText || '';
return input.value;
}
(function($){
$.html2text = function(html) {
if($('#scratch_pad').length === 0) {
$('<div id="lh_scratch"></div>').appendTo('body');
}
return $('#scratch_pad').html(html).text();
};
})(jQuery);
将此定义为jquery插件并按如下所示使用它:
$.html2text(htmlContent);