使用 {!! !!} 可输出原始 HTML,但需先通过 HTMLPurifier 净化内容以防止 XSS 攻击,确保仅保留安全标签,避免在模板中直接过滤,保持逻辑与视图分离。
在 Laravel 的 Blade 模板中,默认情况下所有变量都会被自动转义,以防止 XSS 攻击。也就是说,如果你输出的内容包含 HTML 标签,它们会被转换成实体字符(比如 < 和 >),从而在页面上显示为文本而不是渲染为 HTML。
但有时你确实需要输出原始的 HTML 内容(例如从富文本编辑器保存的内容),这时可以使用以下方法安全地实现:
Blade 提供了 {!! !!} 语法来输出未转义的内容:
{!! $htmlContent !!}
这会直接将 $htmlContent 中的 HTML 渲染到页面上。
立即学习“前端免费学习笔记(深入)”;
注意:这种方式不会做任何转义,因此必须确保内容是可信的,否则可能引入安全风险。
为了在输出原始 HTML 的同时保障安全,建议先对内容进行净化处理,移除潜在的恶意标签和属性(如 <script>、onerror= 等)。
推荐使用 HTMLPurifier 库:
composer require mews/purifier
use Mews\Purifier\Facades\Purifier; <p>$cleanHtml = Purifier::clean($dirtyHtml);</p>
然后在 Blade 中输出净化后的内容:
{!! $cleanHtml !!}
这样既能保留合法的 HTML(如 p、strong、img 等),又能阻止恶意脚本执行。
不要在模板里做内容过滤,比如:
{{-- 不推荐 --}}
{!! Purifier::clean($content) !!}
逻辑应放在控制器或服务中,保持模板简洁且安全可控。
基本上就这些。只要记住:用 {!! !!} 输出原始 HTML,但前提是内容必须经过净化处理,确保不执行恶意代码。安全和功能之间需要平衡。
以上就是Laravel怎么在Blade中安全地输出原始HTML内容的详细内容,更多请关注php中文网其它相关文章!
HTML怎么学习?HTML怎么入门?HTML在哪学?HTML怎么学才快?不用担心,这里为大家提供了HTML速学教程(入门课程),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
567
收藏
