jQuery DOM 元素创建与 innerHTML

Question

在回答了我的一个问题时，cletus mentioned 在 jQuery 中创建元素时最好使用 direct DOM element creation，而不是 innerHTML。我试着用谷歌搜索它，但我找不到一篇比较好的文章。

我在下面提供了这段代码作为示例，我想知道是否有人可以帮助我以直接 DOM 元素创建形式重写它，希望我之后也能了解其中的区别。

var img = $(this);
img.append('<p class="cap"><a href="'+img.parent().attr('href')+'">'+
img.attr('title')+'</p></a>');

非常感谢。

Answer 1

是的，避免使用 HTML 字符串。您给自己带来了错误和潜在的跨站点脚本安全漏洞。例如：

'<a href="'+img.parent().attr('href')+'">'

如果父 href 中的 URL 包含此 HTML 上下文中的特殊字符，如 <、" 或 &，该怎么办？充其量你会得到可能会使浏览器出错的无效标记；最坏的情况是，如果 URL 来自用户提交，则会出现安全问题。

（好的，< 和 " 不太可能出现在 URL 中，但 & 确实很可能出现。您在文本内容中输入的 title 可能更容易受到攻击。）

这是一个日益严重的大问题。正如我们开始着手修复来自服务器端模板的 HTML 注入错误（例如，PHP 用户忘记htmlspecialchars()），我们现在引入了大量新的 client-使用innerHTML 和 jQuery 的html() 进行简单的 HTML 黑客攻击 XSS。避免。

您可以转义您手动插入 HTML 的文本：

function encodeHTML(s) {
    return s.replace(/&/g, '&amp;').replace(/</g, '&lt;').replace(/"/g, '&quot;');
}

'<a href="'+encodeHTML(img.parent().attr('href'))+'">'

但实际上，您最好使用直接 DOM 样式的属性和方法，因为它们不涉及 HTML 解析，因此不需要任何转义。它们被称为 DOM 样式，因为这是原始 DOM 1 级 HTML 功能的工作方式（早在 innerHTML 出现丑陋的头之前就存在）：

var a= document.createElement('a');
a.href= this.parentNode.href;
a.appendChild(document.createTextNode(this.title));

在 jQuery 中，您可以使用 attr() 和 text() 来做同样的事情：

var a= $('<a></a>');
a.attr('href', $(this).parent().attr('href');
a.text($(this).attr('title'));

在 jQuery 1.4 中，您可以最方便地使用元素创建快捷方式：

$(this).append(
    $('<p class="cap"></p>').append(
        $('<a></a>', {
            href: $(this).parent().attr('href'),
            text: $(this).attr('title')
        })
    )
);

不过，这看起来仍然有点问题，您从哪个父母那里获得href？在链接中放置<p> 或其他链接是无效的。

Answer 2

这是在 jQuery 中创建元素的方式：

var myDiv = $('<div class="my-class"></div>');

然后你可以用myDiv做各种很酷的事情。

这里是用你的例子：

var img = $(this);
var myP = $('<p class="cap"></p>');
var myA = $('<a></a>');
myA.attr("href",img.parent().attr('href'));
myA.html(img.attr('title'));
myP.append(myA);
this.append(myP);

这有点冗长，但是是的。