使用 {!! !!} 可输出原始 HTML,但需先通过 HTMLPurifier 净化内容以防止 XSS 攻击,确保仅保留安全标签,避免在模板中直接过滤,保持逻辑与视图分离。
在 Laravel 的 Blade 模板中,默认情况下所有变量都会被自动转义,以防止 XSS 攻击。也就是说,如果你输出的内容包含 HTML 标签,它们会被转换成实体字符(比如 和 >),从而在页面上显示为文本而不是渲染为 HTML。
但有时你确实需要输出原始的 HTML 内容(例如从富文本编辑器保存的内容),这时可以使用以下方法安全地实现:
使用 {!! !!} 输出原始 HTML
Blade 提供了 {!! !!} 语法来输出未转义的内容:
{!! $htmlContent !!}
这会直接将 $htmlContent 中的 HTML 渲染到页面上。
立即学习“前端免费学习笔记(深入)”;
注意:这种方式不会做任何转义,因此必须确保内容是可信的,否则可能引入安全风险。
确保内容安全:使用 HTML Purifier 过滤
为了在输出原始 HTML 的同时保障安全,建议先对内容进行净化处理,移除潜在的恶意标签和属性(如 、onerror= 等)。
推荐使用 HTMLPurifier 库:
- 通过 Composer 安装:
composer require mews/purifier - 在控制器或服务中使用:
use Mews\Purifier\Facades\Purifier;$cleanHtml = Purifier::clean($dirtyHtml);
然后在 Blade 中输出净化后的内容:
{!! $cleanHtml !!}
这样既能保留合法的 HTML(如 p、strong、img 等),又能阻止恶意脚本执行。
避免在 Blade 中直接净化 HTML
不要在模板里做内容过滤,比如:
{{-- 不推荐 --}}
{!! Purifier::clean($content) !!}
逻辑应放在控制器或服务中,保持模板简洁且安全可控。
基本上就这些。只要记住:用 {!! !!} 输出原始 HTML,但前提是内容必须经过净化处理,确保不执行恶意代码。安全和功能之间需要平衡。
