Odpowiedzi:
Jeśli korzystasz z przeglądarki, najłatwiej jest po prostu pozwolić przeglądarce zrobić to za Ciebie ...
function stripHtml(html)
{
var tmp = document.createElement("DIV");
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}
Uwaga: jak zauważyli ludzie w komentarzach, najlepiej tego uniknąć, jeśli nie kontrolujesz źródła kodu HTML (na przykład nie uruchamiaj go na niczym, co mogłoby pochodzić z danych wprowadzonych przez użytkownika). W przypadku tych scenariuszy nadal możesz pozwolić, aby przeglądarka wykonała pracę za Ciebie - zobacz odpowiedź Saby na temat korzystania z powszechnie dostępnego DOMParser .
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
myString.replace(/<[^>]*>?/gm, '');
<img src=http://www.google.com.kh/images/srpr/nav_logo27.png onload="alert(42)"
jeśli wstrzykujesz przez document.write
lub łączysz z łańcuchem zawierającym >
przed wstrzyknięciem przez innerHTML
.
>
zostaną w drugim. Nie jest to jednak ryzyko wstrzyknięcia. Zagrożenie występuje z powodu <
pozostawienia w pierwszym, co powoduje, że parser HTML jest w kontekście innym niż stan danych, gdy rozpoczyna się drugi. Uwaga: nie ma przejścia ze stanu danych na >
.
<button onClick="dostuff('>');"></button>
zakładając, że poprawnie napisany HTML, nadal musisz wziąć pod uwagę, że gdzieś w cytowanym tekście atrybutu może znajdować się znak większy niż Ponadto chciałbyś <script>
przynajmniej usunąć cały tekst z tagów.
Najprostszy sposób:
jQuery(html).text();
To pobiera cały tekst z ciągu HTML.
Chciałbym udostępnić zredagowaną wersję zatwierdzonej odpowiedzi Shog9 .
Jak zauważył Mike Samuel w komentarzu, ta funkcja może wykonywać wbudowane kody javascript.
Ale Shog9 ma rację mówiąc „pozwól przeglądarce zrobić to za Ciebie ...”
więc .. tutaj moja edytowana wersja przy użyciu DOMParser :
function strip(html){
var doc = new DOMParser().parseFromString(html, 'text/html');
return doc.body.textContent || "";
}
tutaj kod do testowania wbudowanego javascript:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
Ponadto nie żąda zasobów podczas analizowania (jak obrazy)
strip("Just text <img src='https://assets.rbl.ms/4155638/980x.jpg'>")
Jako rozszerzenie metody jQuery, jeśli Twój ciąg może nie zawierać HTML (np. Jeśli próbujesz usunąć HTML z pola formularza)
jQuery(html).text();`
zwróci pusty ciąg, jeśli nie ma HTML
Posługiwać się:
jQuery('<p>' + html + '</p>').text();
zamiast.
Aktualizacja:
Jak wskazano w komentarzach, w niektórych okolicznościach to rozwiązanie wykona javascript zawarty w nim, html
jeśli html
atakujący może wpłynąć na wartość, użyj innego rozwiązania.
$("<p>").html(html).text();
jQuery('<span>Text :) <img src="a" onerror="alert(1)"></span>').text()
Powyższa funkcja opublikowana przez hipoksyd działa dobrze, ale szukałem czegoś, co w zasadzie przekształciłoby HTML utworzony w edytorze Web RichText (na przykład FCKEditor) i wyczyściło cały HTML, ale zostawiłem wszystkie linki, ponieważ chciałem zarówno HTML, jak i wersja zwykłego tekstu ułatwiająca tworzenie poprawnych części wiadomości e-mail STMP (zarówno HTML, jak i zwykły tekst).
Po długim czasie przeszukiwania Google sam i moi koledzy wymyślili to za pomocą silnika regex w JavaScript:
str='this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>
';
str=str.replace(/<br>/gi, "\n");
str=str.replace(/<p.*>/gi, "\n");
str=str.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<(?:.|\s)*?>/g, "");
str
zmienna zaczyna się tak:
this string has <i>html</i> code i want to <b>remove</b><br>Link Number 1 -><a href="http://www.bbc.co.uk">BBC</a> Link Number 1<br><p>Now back to normal text and stuff</p>
a następnie po uruchomieniu kodu wygląda to tak:
this string has html code i want to remove
Link Number 1 -> BBC (Link->http://www.bbc.co.uk) Link Number 1
Now back to normal text and stuff
Jak widać, cały HTML został usunięty, a łącze zostało wytrwałe, a hiperłączony tekst jest nadal nienaruszony. Mam również otrzymuje <p>
i <br>
tagi z\n
(char nowego wiersza), tak, że jakiś rodzaj formatowania wizualnego został zatrzymany.
Aby zmienić format linku (np. BBC (Link->http://www.bbc.co.uk)
), Po prostu edytuj $2 (Link->$1)
, gdzie $1
jest adres URL / URI href, a $2
tekst jest hiperlinkiem. Dzięki linkom bezpośrednio w treści zwykłego tekstu większość klientów poczty SMTP konwertuje je, aby użytkownik mógł je kliknąć.
Mam nadzieję, że to było przydatne.
Poprawa przyjętej odpowiedzi.
function strip(html)
{
var tmp = document.implementation.createHTMLDocument("New").body;
tmp.innerHTML = html;
return tmp.textContent || tmp.innerText || "";
}
W ten sposób coś takiego działa nie zaszkodzi:
strip("<img onerror='alert(\"could run arbitrary JS here\")' src=bogus>")
Firefox, Chromium i Explorer 9+ są bezpieczne. Opera Presto jest nadal podatna na ataki. Również obrazy wymienione w ciągach nie są pobierane w Chromium i Firefox zapisując żądania HTTP.
<script><script>alert();
Powinno to działać w dowolnym środowisku Javascript (w tym NodeJS).
const text = `
<html lang="en">
<head>
<style type="text/css">*{color:red}</style>
<script>alert('hello')</script>
</head>
<body><b>This is some text</b><br/><body>
</html>`;
// Remove style tags and content
text.replace(/<style[^>]*>.*<\/style>/gm, '')
// Remove script tags and content
.replace(/<script[^>]*>.*<\/script>/gm, '')
// Remove all opening, closing and orphan HTML tags
.replace(/<[^>]+>/gm, '')
// Remove leading spaces and repeated CR/LF
.replace(/([\r\n]+ +)+/gm, '');
<html><style..>* {font-family:comic-sans;}</style>Some Text</html>
I zmienił odpowiedź Jibberboy2000 w celu uwzględnienia kilku <BR />
formatów tagów, usuń wszystko wewnątrz <SCRIPT>
i<STYLE>
tagów formatowania wynikowy HTML poprzez usunięcie wielu podziały wiersza i spacje i przekonwertować pewną HTML zakodowany kod do normy. Po kilku testach okazuje się, że można przekonwertować większość pełnych stron internetowych na prosty tekst, w którym zachowany jest tytuł strony i treść.
W prostym przykładzie
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<!--comment-->
<head>
<title>This is my title</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style>
body {margin-top: 15px;}
a { color: #D80C1F; font-weight:bold; text-decoration:none; }
</style>
</head>
<body>
<center>
This string has <i>html</i> code i want to <b>remove</b><br>
In this line <a href="http://www.bbc.co.uk">BBC</a> with link is mentioned.<br/>Now back to "normal text" and stuff using <html encoding>
</center>
</body>
</html>
staje się
To jest mój tytuł
Ten ciąg ma kod HTML, który chcę usunąć
W tej linii wspomniano BBC ( http://www.bbc.co.uk ) z linkiem.
Teraz wróć do „normalnego tekstu” i innych rzeczy
Funkcja JavaScript i strona testowa wyglądają tak:
function convertHtmlToText() {
var inputText = document.getElementById("input").value;
var returnText = "" + inputText;
//-- remove BR tags and replace them with line break
returnText=returnText.replace(/<br>/gi, "\n");
returnText=returnText.replace(/<br\s\/>/gi, "\n");
returnText=returnText.replace(/<br\/>/gi, "\n");
//-- remove P and A tags but preserve what's inside of them
returnText=returnText.replace(/<p.*>/gi, "\n");
returnText=returnText.replace(/<a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 ($1)");
//-- remove all inside SCRIPT and STYLE tags
returnText=returnText.replace(/<script.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/script>/gi, "");
returnText=returnText.replace(/<style.*>[\w\W]{1,}(.*?)[\w\W]{1,}<\/style>/gi, "");
//-- remove all else
returnText=returnText.replace(/<(?:.|\s)*?>/g, "");
//-- get rid of more than 2 multiple line breaks:
returnText=returnText.replace(/(?:(?:\r\n|\r|\n)\s*){2,}/gim, "\n\n");
//-- get rid of more than 2 spaces:
returnText = returnText.replace(/ +(?= )/g,'');
//-- get rid of html-encoded characters:
returnText=returnText.replace(/ /gi," ");
returnText=returnText.replace(/&/gi,"&");
returnText=returnText.replace(/"/gi,'"');
returnText=returnText.replace(/</gi,'<');
returnText=returnText.replace(/>/gi,'>');
//-- return
document.getElementById("output").value = returnText;
}
Został użyty z tym HTML:
<textarea id="input" style="width: 400px; height: 300px;"></textarea><br />
<button onclick="convertHtmlToText()">CONVERT</button><br />
<textarea id="output" style="width: 400px; height: 300px;"></textarea><br />
/<p.*>/gi
powinno być /<p.*?>/gi
.
<br>
tagów można użyć wyrażenia regularnego dobrą zamiast: /<br\s*\/?>/
w ten sposób można mieć tylko jedno zastąpić zamiast 3. Ponadto wydaje mi się, że oprócz dekodowania jednostek można mieć jednego regex, coś takiego: /<[a-z].*?\/?>/
.
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");
To jest wersja wyrażenia regularnego, która jest bardziej odporna na zniekształcone HTML, takie jak:
Niezamknięte tagi
Some text <img
„<”, „>” wewnątrz atrybutów tagu
Some text <img alt="x > y">
Newlines
Some <a
href="http://google.com">
Kod
var html = '<br>This <img alt="a>b" \r\n src="a_b.gif" />is > \nmy<>< > <a>"text"</a'
var text = html.replace(/<\/?("[^"]*"|'[^']*'|[^>])*(>|$)/g, "");
Innym, co prawda mniej eleganckim rozwiązaniem niż nickf czy Shog9, byłoby rekursywne przejście DOM zaczynając od znacznika <body> i dołączenie każdego węzła tekstowego.
var bodyContent = document.getElementsByTagName('body')[0];
var result = appendTextNodes(bodyContent);
function appendTextNodes(element) {
var text = '';
// Loop through the childNodes of the passed in element
for (var i = 0, len = element.childNodes.length; i < len; i++) {
// Get a reference to the current child
var node = element.childNodes[i];
// Append the node's value if it's a text node
if (node.nodeType == 3) {
text += node.nodeValue;
}
// Recurse through the node's children, if there are any
if (node.childNodes.length > 0) {
appendTextNodes(node);
}
}
// Return the final result
return text;
}
Jeśli chcesz zachować linki i strukturę treści (h1, h2 itp.), Powinieneś sprawdzić TextVersionJS Możesz go używać z dowolnym HTML- em , chociaż został stworzony do konwersji wiadomości e-mail HTML na zwykły tekst.
Użycie jest bardzo proste. Na przykład w node.js:
var createTextVersion = require("textversionjs");
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
Lub w przeglądarce z czystym js:
<script src="textversion.js"></script>
<script>
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
</script>
Działa również z wymaga.js:
define(["textversionjs"], function(createTextVersion) {
var yourHtml = "<h1>Your HTML</h1><ul><li>goes</li><li>here.</li></ul>";
var textVersion = createTextVersion(yourHtml);
});
Po wypróbowaniu wszystkich wymienionych odpowiedzi większość, jeśli nie wszystkie, miały przypadkowe przypadki i nie były w stanie w pełni zaspokoić moich potrzeb.
Zacząłem badać, w jaki sposób robi to php, i natknąłem się na bibliotekę php.js, która replikuje metodę strip_tags tutaj: http://phpjs.org/functions/strip_tags/
allowed == ''
myślę, że o to poprosił PO, co prawie odpowiada Byron poniżej (Byron tylko [^>]
pomylił się).
allowed
param, jesteś podatny na XSS: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')
return<p onclick="alert(1)">mytext</p>
function stripHTML(my_string){
var charArr = my_string.split(''),
resultArr = [],
htmlZone = 0,
quoteZone = 0;
for( x=0; x < charArr.length; x++ ){
switch( charArr[x] + htmlZone + quoteZone ){
case "<00" : htmlZone = 1;break;
case ">10" : htmlZone = 0;resultArr.push(' ');break;
case '"10' : quoteZone = 1;break;
case "'10" : quoteZone = 2;break;
case '"11' :
case "'12" : quoteZone = 0;break;
default : if(!htmlZone){ resultArr.push(charArr[x]); }
}
}
return resultArr.join('');
}
Konta dla> wewnętrznych atrybutów i <img onerror="javascript">
nowo tworzonych elementów dom.
stosowanie:
clean_string = stripHTML("string with <html> in it")
próbny:
https://jsfiddle.net/gaby_de_wilde/pqayphzd/
demo najlepszych odpowiedzi na te okropne rzeczy:
string with <a malicious="attribute \">this text should be removed, but is not">example</a>
.).
Wiele osób już na to odpowiedziało, ale pomyślałem, że użyteczne może być udostępnienie napisanej przeze mnie funkcji, która usuwa tagi HTML z łańcucha, ale umożliwia dołączenie tablicy tagów, których nie chcesz usuwać. Jest dość krótki i działa dobrze dla mnie.
function removeTags(string, array){
return array ? string.split("<").filter(function(val){ return f(array, val); }).map(function(val){ return f(array, val); }).join("") : string.split("<").map(function(d){ return d.split(">").pop(); }).join("");
function f(array, value){
return array.map(function(d){ return value.includes(d + ">"); }).indexOf(true) != -1 ? "<" + value : value.split(">")[1];
}
}
var x = "<span><i>Hello</i> <b>world</b>!</span>";
console.log(removeTags(x)); // Hello world!
console.log(removeTags(x, ["span", "i"])); // <span><i>Hello</i> world!</span>
Myślę, że najłatwiej jest po prostu użyć wyrażeń regularnych, jak ktoś wspomniany powyżej. Chociaż nie ma powodu, aby używać ich wielu. Próbować:
stringWithHTML = stringWithHTML.replace(/<\/?[a-z][a-z0-9]*[^<>]*>/ig, "");
[^<>]
z [^>]
ponieważ prawidłowy tag nie może zawierać <
znak, a następnie luka XSS znika.
Wprowadziłem pewne modyfikacje do oryginalnego skryptu Jibberboy2000 Mam nadzieję, że przyda się komuś
str = '**ANY HTML CONTENT HERE**';
str=str.replace(/<\s*br\/*>/gi, "\n");
str=str.replace(/<\s*a.*href="(.*?)".*>(.*?)<\/a>/gi, " $2 (Link->$1) ");
str=str.replace(/<\s*\/*.+?>/ig, "\n");
str=str.replace(/ {2,}/gi, " ");
str=str.replace(/\n+\s*/gi, "\n\n");
Oto wersja, która w pewnym sensie rozwiązuje problem bezpieczeństwa @ MikeSamuel:
function strip(html)
{
try {
var doc = document.implementation.createDocument('http://www.w3.org/1999/xhtml', 'html', null);
doc.documentElement.innerHTML = html;
return doc.documentElement.textContent||doc.documentElement.innerText;
} catch(e) {
return "";
}
}
Uwaga: zwróci pusty ciąg, jeśli znacznik HTML nie jest prawidłowym kodem XML (inaczej: tagi muszą być zamknięte, a atrybuty muszą być cytowane). Nie jest to idealne, ale pozwala uniknąć problemu wykorzystania potencjału bezpieczeństwa.
Jeśli nie masz poprawnego znacznika XML, możesz spróbować użyć:
var doc = document.implementation.createHTMLDocument("");
ale nie jest to idealne rozwiązanie z innych powodów.
Możesz bezpiecznie usunąć tagi HTML za pomocą atrybutu piaskownicy iframe .
Chodzi o to, że zamiast regexować nasz ciąg znaków, korzystamy z natywnego parsera przeglądarki, wstrzykując tekst do elementu DOM, a następnie sprawdzając właściwość textContent
/ innerText
tego elementu.
Najlepszym elementem do wstrzykiwania naszego tekstu jest ramka iframe w piaskownicy, w ten sposób możemy zapobiec wykonaniu dowolnego kodu (znanego również jako XSS ).
Minusem tego podejścia jest to, że działa tylko w przeglądarkach.
Oto, co wymyśliłem (nie przetestowane w walce):
const stripHtmlTags = (() => {
const sandbox = document.createElement("iframe");
sandbox.sandbox = "allow-same-origin"; // <--- This is the key
sandbox.style.setProperty("display", "none", "important");
// Inject the sanbox in the current document
document.body.appendChild(sandbox);
// Get the sandbox's context
const sanboxContext = sandbox.contentWindow.document;
return (untrustedString) => {
if (typeof untrustedString !== "string") return "";
// Write the untrusted string in the iframe's body
sanboxContext.open();
sanboxContext.write(untrustedString);
sanboxContext.close();
// Get the string without html
return sanboxContext.body.textContent || sanboxContext.body.innerText || "";
};
})();
Zastosowanie ( demo ):
console.log(stripHtmlTags(`<img onerror='alert("could run arbitrary JS here")' src='bogus'>XSS injection :)`));
console.log(stripHtmlTags(`<script>alert("awdawd");</` + `script>Script tag injection :)`));
console.log(stripHtmlTags(`<strong>I am bold text</strong>`));
console.log(stripHtmlTags(`<html>I'm a HTML tag</html>`));
console.log(stripHtmlTags(`<body>I'm a body tag</body>`));
console.log(stripHtmlTags(`<head>I'm a head tag</head>`));
console.log(stripHtmlTags(null));
let
i const
. Ponadto, korzystając z twojego rozwiązania, otrzymałem wiele odnośników, które iframes
nie zostały użyte w dokumencie. Zastanów się nad dodaniem document.body.removeChild(sandbox)
kodu do przyszłych czytników opartych na makaronie.
Poniższy kod pozwala zachować niektóre tagi HTML podczas usuwania wszystkich pozostałych
function strip_tags(input, allowed) {
allowed = (((allowed || '') + '')
.toLowerCase()
.match(/<[a-z][a-z0-9]*>/g) || [])
.join(''); // making sure the allowed arg is a string containing only tags in lowercase (<a><b><c>)
var tags = /<\/?([a-z][a-z0-9]*)\b[^>]*>/gi,
commentsAndPhpTags = /<!--[\s\S]*?-->|<\?(?:php)?[\s\S]*?\?>/gi;
return input.replace(commentsAndPhpTags, '')
.replace(tags, function($0, $1) {
return allowed.indexOf('<' + $1.toLowerCase() + '>') > -1 ? $0 : '';
});
}
phpjs
). Jeśli użyjesz allowed
param, jesteś podatny na XSS: stripTags('<p onclick="alert(1)">mytext</p>', '<p>')
return<p onclick="alert(1)">mytext</p>
Możliwe jest również użycie fantastycznego parsera HTML JS HTML htmlparser2 . Oto działające demo:
var htmlparser = require('htmlparser2');
var body = '<p><div>This is </div>a <span>simple </span> <img src="test"></img>example.</p>';
var result = [];
var parser = new htmlparser.Parser({
ontext: function(text){
result.push(text);
}
}, {decodeEntities: true});
parser.write(body);
parser.end();
result.join('');
Wyjście będzie This is a simple example.
Zobacz to w akcji tutaj: https://tonicdev.com/jfahrenkrug/extract-text-from-html
Działa to zarówno w węźle, jak i przeglądarce, jeśli spakujesz aplikację internetową za pomocą narzędzia takiego jak webpack.
Musiałem tylko usunąć <a>
tagi i zastąpić je tekstem linku.
To wydaje się działać świetnie.
htmlContent= htmlContent.replace(/<a.*href="(.*?)">/g, '');
htmlContent= htmlContent.replace(/<\/a>/g, '');
title="..."
.
Dla łatwiejszego rozwiązania spróbuj tego => https://css-tricks.com/snippets/javascript/strip-html-tags-in-javascript/
var StrippedString = OriginalString.replace(/(<([^>]+)>)/ig,"");
prosta 2-liniowa jquery do usunięcia HTML.
var content = "<p>checking the html source </p><p>
</p><p>with </p><p>all</p><p>the html </p><p>content</p>";
var text = $(content).text();//It gets you the plain text
console.log(text);//check the data in your console
cj("#text_area_id").val(text);//set your content to text area using text_area_id
input
element obsługuje tylko jeden tekst liniowy :
Stan tekstu reprezentuje jednowierszowy element sterujący edycji tekstu zwykłego dla wartości elementu.
function stripHtml(str) {
var tmp = document.createElement('input');
tmp.value = str;
return tmp.value;
}
Aktualizacja: działa zgodnie z oczekiwaniami
function stripHtml(str) {
// Remove some tags
str = str.replace(/<[^>]+>/gim, '');
// Remove BB code
str = str.replace(/\[(\w+)[^\]]*](.*?)\[\/\1]/g, '$2 ');
// Remove html and line breaks
const div = document.createElement('div');
div.innerHTML = str;
const input = document.createElement('input');
input.value = div.textContent || div.innerText || '';
return input.value;
}
(function($){
$.html2text = function(html) {
if($('#scratch_pad').length === 0) {
$('<div id="lh_scratch"></div>').appendTo('body');
}
return $('#scratch_pad').html(html).text();
};
})(jQuery);
Zdefiniuj to jako wtyczkę jquery i użyj jej w następujący sposób:
$.html2text(htmlContent);