0

我使用接收客户端输入的文本的组件,但是客户端碰巧输入了代码(例如 iframe),并且危险地 SetInnerHTML 让它呈现!我希望它在屏幕上显示代码(并且我已经尝试将其转换为字符串等)但不渲染它。

<p dangerouslySetInnerHTML={{ __html: message }}></p>
4

2 回答 2

0

如果您不希望消息是 dom,那么为什么dangerouslySetInnerHTML首先使用?

<p>{message}</p>
于 2021-01-15T12:39:46.823 回答
0

使用 dompurify,对这些场景很有用,但我不确定你是如何无法渲染它的,发布代码片段会有所帮助。

于 2021-01-15T15:41:29.523 回答