TrustedHTML：toString() 方法

可用性有限

此特性不是基线特性，因为它在一些最广泛使用的浏览器中不起作用。

注意：此功能在 Web Workers 中可用。

TrustedHTML 接口的 toString() 方法返回一个字符串，该字符串可以安全地插入到注入接收器中。

语法

toString()

参数

无。

返回值

包含已清理 HTML 的字符串。

示例

常量 escaped 是通过 Trusted Types 策略 escapeHTMLPolicy 创建的对象。toString() 方法返回一个可以安全插入到文档中的字符串。

const escapeHTMLPolicy = trustedTypes.createPolicy("myEscapePolicy", {
  createHTML: (string) => string.replace(/</g, "&lt;"),
});

const escaped = escapeHTMLPolicy.createHTML("<img src=x onerror=alert(1)>");
console.log(escaped.toString());

规范

规范
Trusted Types # trustedhtml-stringification-behavior

浏览器兼容性

帮助改进 MDN

了解如何贡献

此页面由 MDN 贡献者在 2024年8月3日最后修改。

在 GitHub 上查看此页面 • 报告此内容存在的问题