TrustedHTML: toString()-Methode

Limited availability

This feature is not Baseline because it does not work in some of the most widely-used browsers.

Hinweis: Dieses Feature ist verfügbar in Web Workers.

Die toString()-Methode der TrustedHTML-Schnittstelle gibt einen String zurück, der sicher in ein Einfügeziel eingesetzt werden kann.

Syntax

js
toString()

Parameter

Keine.

Rückgabewert

Ein String, der das bereinigte HTML enthält.

Beispiele

Die Konstante escaped ist ein Objekt, das über die Trusted Types-Richtlinie escapeHTMLPolicy erstellt wird. Die Methode toString() gibt einen String zurück, der sicher in ein Dokument eingefügt werden kann.

js
const escapeHTMLPolicy = trustedTypes.createPolicy("myEscapePolicy", {
  createHTML: (string) => string.replace(/</g, "&lt;"),
});

const escaped = escapeHTMLPolicy.createHTML("<img src=x onerror=alert(1)>");
console.log(escaped.toString());

Spezifikationen

Specification
Trusted Types
# trustedhtml-stringification-behavior

Browser-Kompatibilität

BCD tables only load in the browser