使用标签并转义特殊字符可防止HTML运行,如显示为文本;通过textContent插入代码或用Prism.js等库也可实现安全展示。
要让一段 HTML 代码不运行,也就是让它在页面中显示为纯文本而不是被浏览器解析执行,有几种常用方法。以下是几种实用的设置方式:
1. 使用 和 标签包裹
标签包裹将你想禁用运行的 HTML 代码用 和 标签包裹,同时对特殊字符进行转义,这样浏览器会将其显示为格式化文本而非可执行代码。
效果:用户看到的是代码本身,而不是渲染后的 div 元素。
2. 转义特殊字符(关键方法)
把 HTML 中的尖括号和符号转换成对应的 HTML 实体:
立即学习“前端免费学习笔记(深入)”;
- 替换为 zuojiankuohaophpcn
- > 替换为 youjiankuohaophpcn
- & 替换为 &
例如:
zuojiankuohaophpcndiv class="example"youjiankuohaophpcn这段代码不会执行zuojiankuohaophpcn/divyoujiankuohaophpcn
浏览器会显示原始代码,而不会将其解析为元素。
3. 在代码展示区域使用 JavaScript 动态插入
如果你是在写教程或文档页面,可以先以字符串形式存储 HTML 代码,然后通过 JavaScript 把转义后的内容插入到预览区域,确保它只作为文本展示。
比如:
document.getElementById('code-view').textContent = '示例内容';
使用 textContent 而不是 innerHTML,可防止代码被执行。
4. 使用第三方高亮库(如 Prism.js、Highlight.js)
这类库默认会处理代码块的转义与样式,自动防止代码运行,同时提供语法高亮。
只需将代码放入指定的 pre+code 结构中,并加上语言类名:
<button>点击我</button>
记得提前引入对应库文件。
基本上就这些方法。关键是不让浏览器把那段内容当作可解析的 HTML 处理,转义或使用 textContent 是最可靠的做法。
