JavaScript 中怎么使用 innerHTML

JavaScript 中使用 innerHTML 可以实现对网页中DOM元素内容的获取和修改。通过innerHTML属性、可以读取或者替换HTML元素的内容。这个属性是非常有用的工具，因为它让开发者有能力用简单的方法动态更新页面。要注意，在使用innerHTML时，它不仅仅是文本内容的简单替换，还包括所有子节点的完全重构。这意味着，通过innerHTML插入的HTML需要重新解析，并且相关的DOM元素将会重新构建。因此，虽然它是一个强大的工具，但频繁操作可能会影响页面性能，并且可能引入跨站脚本（XSS）攻击的风险。

要展开详细描述，以HTML元素内容的修改为例。当你使用innerHTML进行内容的修改时，你实际上是在告诉浏览器废弃当前元素的所有子节点，并根据你所提供的HTML字符串来创建新的节点。例如，如果你有一个<div>元素，并使用innerHTML来更改它包含的HTML，那么所有之前该<div>中的子节点（包括文本节点、元素节点等）都会被移除，取而代之的是你新设置的HTML内容里的元素。这个操作虽然简单，但实际上执行了复杂的DOM操作流程。

一、获取元素的innerHTML

要获取已有元素的innerHTML，你需要首先选择到该元素。通常使用document.getElementById、document.querySelector等方法来选取元素。一旦你选择到元素，便可以读取它的innerHTML属性。

// 假设有一个元素 `<div id="myDiv">这是内容</div>`

var myDiv = document.getElementById("myDiv");
var content = myDiv.innerHTML; // “这是内容”

在这个例子中，我们通过元素的id属性"myDiv"获取到了<div>元素，并通过innerHTML属性获取了它的内容。

二、修改元素的innerHTML

修改元素的innerHTML同样需要首先选取到目标元素，然后给其innerHTML属性赋予新的HTML字符串。

// 继续假设有 `<div id="myDiv">这是内容</div>`

var myDiv = document.getElementById("myDiv");
myDiv.innerHTML = '<p>新的内容</p>';

在执行完上述代码后，<div id="myDiv">里面的内容将变为一个<p>元素，原有的文本“这是内容”被替换成了“新的内容”。

三、innerHTML与textContent的区别

区分innerHTML和textContent是理解DOM操作的重要一环。textContent仅仅获取和设置元素的纯文本内容，忽略所有HTML标签。而innerHTML则是获取和设置元素的完整HTML，包括所有的HTML标签和文本内容。

// 假设元素 `<div id="myDiv"><p>段落内容</p></div>`

var myDiv = document.getElementById("myDiv");
// 使用 textContent 获取内容
var text = myDiv.textContent; // “段落内容”
// 使用 innerHTML 获取内容
var html = myDiv.innerHTML; // “<p>段落内容</p>”

这里我们可以看到，textContent只提取了文本信息，而innerHTML则保留了HTML结构。

四、为什么不应频繁操作innerHTML

使用innerHTML可以方便地更改页面的内容，但它却不适合频繁使用。每次更新innerHTML属性，浏览器都会重新解析HTML字符串，并且创建新的DOM节点，这个过程是相当耗费资源的。如果对同一元素频繁进行innerHTML操作，会导致严重的性能问题，尤其是在复杂的页面或者低性能的设备上。

var myDiv = document.getElementById("myDiv");

for (var i = 0; i < 1000; i++) {
    myDiv.innerHTML += '新的段落 ' + i + '<br>';
}

这个例子中，对于循环中的每一次迭代，innerHTML都会迫使浏览器重新解析和构造所有的内容，这显然是非常低效的。

五、避免XSS攻击的方法

使用innerHTML时，需要特别注意不要插入未经过滤的用户输入，以避免跨站脚本（XSS）攻击。恶意的HTML或JavaScript代码可以通过innerHTML插入到页面中，一旦执行，会对网站的安全造成威胁。

var userInput = '<script>evilScript()</script>';

var myDiv = document.getElementById('myDiv');
myDiv.innerHTML = userInput; // 危险的操作

为了防止XSS攻击，必须对用户输入进行适当的清理和转义。你可以使用DOM方法如createTextNode或第三方库来确保安全地处理文本内容。

var userInput = '<script>evilScript()</script>';

var myDiv = document.getElementById('myDiv');
var textNode = document.createTextNode(userInput);
myDiv.appendChild(textNode); // 安全的操作

总结来说，innerHTML是一个非常有用的属性，允许Web开发者方便地操作网页内容。但在使用时，应该注意其对页面性能的潜在影响以及安全问题。适当使用和优化innerHTML操作，可以在不牺牲用户体验和网站安全的前提下，达到动态更新页面内容的目的。

相关问答FAQs：

1. 如何使用 JavaScript 的 innerHTML 属性来修改 HTML 元素的内容?

使用 innerHTML 属性可以很方便地修改 HTML 元素的内容。只需选择要修改的元素，然后将它的 innerHTML 属性设置为所需的值即可。例如，要将一个 div 元素的内容修改为 "Hello, World!"，可以使用以下 JavaScript 代码：

document.getElementById("myDiv").innerHTML = "Hello, World!";

这将把 id 为 "myDiv" 的元素的内容更改为 "Hello, World!"。

2. innerHTML 和 innerText 有什么区别，什么时候应该使用 innerHTML？

innerHTML 和 innerText 都是用于修改 HTML 元素内容的属性，但它们有一些不同之处。innerHTML 返回元素的所有子元素和文本内容，而 innerText 只返回元素的文本内容，去除了标签。因此，使用 innerHTML 可以修改元素的 HTML 结构（例如插入新的元素、修改样式），而 innerText 只能修改文本内容。

一般来说，如果要修改元素内部的文本内容，可以使用 innerText。如果需要更改或插入新的 HTML 元素，应该使用 innerHTML。

3. 如何避免使用 innerHTML 属性导致的安全问题？

innerHTML 的一个潜在安全隐患是它可以执行任意的 JavaScript 代码。当将用户输入直接赋给 innerHTML 属性时，可能会导致跨站脚本攻击（XSS）的风险。为了避免这种情况，应该遵循以下几个步骤：

• 永远不要将来自用户输入的未经验证的内容直接赋给 innerHTML 属性。
• 如果必须使用用户输入作为 innerHTML 的一部分，应该通过使用 escape 或编码函数对用户输入进行处理，以确保输入不包含恶意代码。
• 如果需要动态创建 HTML 元素，可以使用 createElement 和 appendChild 方法，而不是直接使用 innerHTML。

通过遵循这些最佳实践，可以减少由于使用 innerHTML 导致的安全问题。

最后建议，企业在引入信息化系统初期，切记要合理有效地运用好工具，这样一来不仅可以让公司业务高效地运行，还能最大程度保证团队目标的达成。同时还能大幅缩短系统开发和部署的时间成本。特别是有特定需求功能需要定制化的企业，可以采用我们公司自研的企业级低代码平台：织信Informat。 织信平台基于数据模型优先的设计理念，提供大量标准化的组件，内置AI助手、组件设计器、自动化（图形化编程）、脚本、工作流引擎（BPMN2.0）、自定义API、表单设计器、权限、仪表盘等功能，能帮助企业构建高度复杂核心的数字化系统。如ERP、MES、CRM、PLM、SCM、WMS、项目管理、流程管理等多个应用场景，全面助力企业落地国产化/信息化/数字化转型战略目标。