Können Skripten eingefügt werden, die mit innerHTML?

Ich habe versucht, laden einige Skripts in eine Seite mit innerHTML auf eine <div>. Es scheint, dass das Skript lädt in den DOM, aber es wird nie ausgeführt (zumindest in Firefox und Chrome). Gibt es eine Möglichkeit, um Skripte ausführen, wenn Sie Sie mit innerHTML?

Beispielcode:

HTML:

<!DOCTYPE html>
<html>
  <body onload="document.getElementById('loader').innerHTML = '<script>alert(\'hi\')<\/script>'">
    Shouldn't an alert saying 'hi' appear?
    <div id="loader"></div>
  </body>
</html>

InformationsquelleAutor Craig | 2009-07-29
  1. 75

    Verwenden Sie eval() ausführen beliebigen script-code, den Sie eingefügt haben als DOM-text.

    MooTools wird dies automatisch für Sie tun, und ich bin mir sicher, dass jQuery würde, sowie (je nach version. jQuery in der version 1.6+ verwendet eval). Das spart eine Menge ärger mit der Analyse aus <script> tags und Flucht Ihre Inhalte, sowie ein paar andere "Fallstricke".

    In der Regel, wenn Sie gehen, um eval() Sie sich, Sie wollen zu erstellen/senden der Skript-code ohne HTML-markup wie <script> an, diese werden nicht eval() richtig.

    • Was ich wirklich tun wollen ist das laden eines externen Skripts, das nicht nur eval einige lokale Skript. Hinzufügen eines script-Tags mit innerHTML ist viel kürzer als das erstellen einer script-DOM-element und hinzufügen, um den Körper, und ich versuche, meinen code so kurz wie möglich. Haben Sie zum erstellen des dom-Skript-Elemente und fügen Sie Sie der dom, anstatt nur mit so etwas wie innerHTML? Gibt es eine Möglichkeit, dies zu tun mit dem Dokument.schreiben von innerhalb einer Funktion?
    • Als zombat empfehlen, verwenden Sie ein Javascript-framework zum laden der externen Skript, versuchen Sie nicht, das Rad neu zu erfinden. Mit JQuery lässt sich dies sehr einfach, nur sind die JQuery-und Aufruf: $.getScript(url). Sie können auch eine callback-Funktion ausgeführt werden, sobald das script geladen ist.
    • Ariel ist richtig. Ich Schätze, die versuchen zu halten, dein code kurz ist, und das hinzufügen einer <script> tag mit innerHTML könnte kurz sein, aber es funktioniert nicht. Es ist alles nur text, bis es ausgeführt wird durch eval(). Und leider eval() nicht Parsen von HTML-tags, so dass Sie am Ende mit einer Kette von Problemen.
    • eval() ist nicht gerade eine gute Lösung für jedes problem.
    • Ich habe versucht eval() selbst. Es ist eine schreckliche Idee. Sie haben von eval das ganze jedesmal. Selbst wenn Sie deklarieren Sie eine variable mit Namen und Wert, Sie zu re-deklarieren/re-eval() jedesmal neu machen, damit es funktioniert. Es ist ein Alptraum von Fehlern.
    • Warum ist es nicht?
    • oft, aber nicht immer "böse" stackoverflow.com/questions/197769/...

    InformationsquelleAutor zombat
  2. 78

    Hier ist eine sehr interessante Lösung für Ihr problem:
    http://24ways.org/2005/have-your-dom-and-script-it-too

    So verwenden Sie diese anstelle von script-tags:

    <img src="empty.gif" onload="alert('test');this.parentNode.removeChild(this);" />

    • sehr gut, und die Arbeit komplett in allen Browsern!
    • Das ist Brillant!
    • Funktioniert bei mir nicht, beim einfügen in Folge einer ajax-request : Syntax error missing ; before statement an den Anfang des Scriptes string
    • Wie kann man Leute hinzufügen, die &lt;img src... line auf Ihrer Seite code? Tun Sie Dokument.write() oder document.Körper.innerHTML+= Ansatz für das? Beide sind nicht für mich 🙁
    • Nicht sehr praktisch, um eine Menge schreiben von code innerhalb eines onload Attribut. Auch dies erfordert eine zusätzliche Datei zu existieren und geladen werden. momo die Lösung ist weniger ein Kompromiss.
    • Zwei Nachteile: 1. Es kann nicht rufen irgendwelche Scripte/Funktionen Hinzugefügt, über die innerHTML - (zusammen mit diesem IMG-tag), weil Sie nicht existieren, so weit wie der browser betroffen ist 2. Wenn ein Teil der inline-code vor ".removeChild()" eine exception wirft, das img-element nicht entfernt werden.
    • Einen schnellen Punkt. Diese Lösung kann nicht geben Sie genaue Ergebnisse, wenn Sie sind das laden der größeren Bilder oben (da Sie länger dauern, um zu laden, als Sie Ihre leere gif).
    • Du könntest die Base64-codierte trigger-Bild als <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"> (dies nicht tun, ein Netzwerk Anfrage) Tatsächlich... Sie brauchen NICHT ein Bild, verweisen auf eine nicht vorhandene Bild und statt onload verwenden onerror (aber das wird eine Netzwerk Anfrage)
    • user447963 & Danny'365CSI'Engelman: Das ist wirklich genial. Dies ist, was vielleicht sein könnte genannt hacking. Eine andere Denkweise zu erreichen, etwas, das wäre nicht anders möglich. Eine Sache, die Sie normalerweise nicht zu denken (obwohl Sie wissen, dass es irgendwo in deinem Kopf).
    • Am einfachsten zu implementieren und funktioniert in allen gängigen Browsern (getestet in IE, Edge, Opera, Firefox & Chrome neueste Versionen). Denken außerhalb der box hat es Vorteile!

    InformationsquelleAutor user447963
  3. 68

    Hier ist eine Methode, die rekursiv ersetzt alle Skripte ausführbar sind: 

    function nodeScriptReplace(node) {
        if ( nodeScriptIs(node) === true ) {
                node.parentNode.replaceChild( nodeScriptClone(node) , node );
        }
        else {
                var i        = 0;
                var children = node.childNodes;
                while ( i < children.length ) {
                        nodeScriptReplace( children[i++] );
                }
        }

        return node;
}
function nodeScriptIs(node) {
        return node.tagName === 'SCRIPT';
}
function nodeScriptClone(node){
        var script  = document.createElement("script");
        script.text = node.innerHTML;
        for( var i = node.attributes.length-1; i >= 0; i-- ) {
                script.setAttribute( node.attributes[i].name, node.attributes[i].value );
        }
        return script;
}

    Beispiel nennen: 

    nodeScriptReplace(document.getElementsByTagName("body")[0]);
    • Ich bin ein bisschen überrascht, dass Ihre Antwort ganz unten. IMHO, ist dies die beste Lösung, diese Methode würde es sogar erlauben, Sie zu beschränken Skripte mit bestimmten urls oder Inhalte.
    • funktioniert jetzt auch im firefox
    • bedeutet oder nicht? Es verwendet, um zu arbeiten, jemand jemals behauptet etwas anderes?
    • was ist die purpoes [0]? können Sie nodeScriptReplace(document.getElementById().html);
    • Ja. Sie können.
    • Scheint nicht zu helfen in IWebBrowser2; ich kann bestätigen, das script-tags bekommen neu mit createElement, aber ich bin immer noch nicht aufrufen über InvokeScript().

    InformationsquelleAutor momomo
  4. 38

    Können Sie ein Skript erstellen und dann injizieren Sie den Inhalt. 

    var g = document.createElement('script');
var s = document.getElementsByTagName('script')[0];
g.text = "alert(\"hi\");"
s.parentNode.insertBefore(g, s);

    Dies funktioniert in allen Browsern 🙂

    • Es sei denn, es gibt keine andere script-Elemente im Dokument. Verwenden document.documentElement statt.
    • Ist nicht notwendig, da Sie schreiben ein Skript aus einem anderen Skript. <script> var g = document.createElement('script'); var s = document.getElementsByTagName('script')[0]; //reference this script g.text = "alert(\"hi\");" s.parentNode.insertBefore(g, s); </script>
    • Wer sagt, dass es aus einem anderen script? Sie können JavaScript ausführen ohne <script> Elemente. E. g. <img onerror="..." src="#"> und <body onload="...">. Wenn Sie möchten, um technische, das funktioniert nicht in nicht-HTML/SVG-Dokumente, die entweder aufgrund der unbestimmt Verwendung von Namensräumen.
    • Facebook nutzt Pablo ' s Antwort in Ihrer SDK. developers.facebook.com/docs/javascript/quickstart/v2.2#loading
    • Nur dies funktioniert. Alles andere gescheitert sind.
    InformationsquelleAutor Pablo Moretti
  5. 24

    Ich habe diesen code, es ist in Ordnung, die

    var arr = MyDiv.getElementsByTagName('script')
for (var n = 0; n < arr.length; n++)
    eval(arr[n].innerHTML)//run script inside div
    • Danke. Es fixiert mein problem hinzufügen Disqus Universal-code auf einem modal popup erstellt mit TinyBox2 Jquery-plugin.
    • Leider ist diese Lösung funktioniert nicht, wenn das Skript enthält Funktionen, die aufgerufen werden, die später auf.
    • auch dies funktioniert nicht bei externen scripts
    InformationsquelleAutor Firas Nizam
  6. 4

    Für jemand, der noch versucht, dies zu tun, Nein, Sie können nicht Spritzen, ein Skript mit innerHTML, aber es ist möglich, laden Sie eine Zeichenfolge in einen script-tag mit einem Blob und URL.createObjectURL.

    Habe ich ein Beispiel erstellt, die Sie können, führen Sie einen string als ein Drehbuch und bekommen die 'exports' des Skripts zurückgegeben durch ein Versprechen:

    function loadScript(scriptContent, moduleId) {
    //create the script tag
    var scriptElement = document.createElement('SCRIPT');

    //create a promise which will resolve to the script's 'exports'
    //(i.e., the value returned by the script)
    var promise = new Promise(function(resolve) {
        scriptElement.onload = function() {
            var exports = window["__loadScript_exports_" + moduleId];
            delete window["__loadScript_exports_" + moduleId];
            resolve(exports);
        }
    });

    //wrap the script contents to expose exports through a special property
    //the promise will access the exports this way
    var wrappedScriptContent =
        "(function() { window['__loadScript_exports_" + moduleId + "'] = " + 
        scriptContent + "})()";

    //create a blob from the wrapped script content
    var scriptBlob = new Blob([wrappedScriptContent], {type: 'text/javascript'});

    //set the id attribute
    scriptElement.id = "__loadScript_module_" + moduleId;

    //set the src attribute to the blob's object url 
    //(this is the part that makes it work)
    scriptElement.src = URL.createObjectURL(scriptBlob);

    //append the script element
    document.body.appendChild(scriptElement);

    //return the promise, which will resolve to the script's exports
    return promise;
}

...

function doTheThing() {
    //no evals
    loadScript('5 + 5').then(function(exports) {
         //should log 10
        console.log(exports)
    });
}

    Habe ich diese vereinfacht von meinem eigentlichen Umsetzung, so dass kein Versprechen, dass es keine Fehler in ihm. Aber das Prinzip funktioniert.

    Wenn Sie kümmern sich nicht darum, irgendeinen Wert zurück, nachdem das Skript ausgeführt wird, ist es noch leichter; lassen Sie einfach die Promise und onload bits. Sie nicht sogar brauchen, wickeln Sie das Skript oder erstellen Sie die globalen window.__load_script_exports_ Eigenschaft.

    • Ich habe es gerade ausprobiert und es funktioniert auf chrome 57. innerHTML auf ein script-tag ausgeführt das text.
    • Das ist interessant, es nicht an Arbeit bevor. Ich Frage mich, ob dieses Verhalten ist cross-browser oder nur in Chrom 57.
    InformationsquelleAutor JayArby
  7. 2

    Hier ist eine rekursive Funktion zum festlegen der innerHTML eines Elements, die ich verwenden in unserer ad-server:

    //o: container to set the innerHTML
//html: html text to set.
//clear: if true, the container is cleared first (children removed)
function setHTML(o, html, clear) {
    if (clear) o.innerHTML = "";

    //Generate a parseable object with the html:
    var dv = document.createElement("div");
    dv.innerHTML = html;

    //Handle edge case where innerHTML contains no tags, just text:
    if (dv.children.length===0){ o.innerHTML = html; return; }

    for (var i = 0; i < dv.children.length; i++) {
        var c = dv.children[i];

        //n: new node with the same type as c
        var n = document.createElement(c.nodeName);

        //copy all attributes from c to n
        for (var j = 0; j < c.attributes.length; j++)
            n.setAttribute(c.attributes[j].nodeName, c.attributes[j].nodeValue);

        //If current node is a leaf, just copy the appropriate property (text or innerHTML)
        if (c.children.length == 0)
        {
            switch (c.nodeName)
            {
                case "SCRIPT":
                    if (c.text) n.text = c.text;
                    break;
                default:
                    if (c.innerHTML) n.innerHTML = c.innerHTML;
                    break;
            }
        }
        //If current node has sub nodes, call itself recursively:
        else setHTML(n, c.innerHTML, false);
        o.appendChild(n);
    }
}

    Sehen Sie die demo hier.

    InformationsquelleAutor Adnan Korkmaz
  8. 1

    Krasimir Tsonev hat eine tolle Lösung, die überwindung aller Probleme.
    Seine Methode muss nicht mit eval, also keine Leistung noch security Probleme vorhanden.
    Es erlaubt das setzen von innerHTML-string enthält html mit js und übersetzen Sie es sofort auf ein DOM-element, während auch führt die js Teile vorhanden sind, die entlang den code. kurz ,einfach und funktioniert genau so, wie Sie wollen.

    Genießen seine Lösung:

    http://krasimirtsonev.com/blog/article/Convert-HTML-string-to-DOM-element

    Wichtige Hinweise:

    1. Müssen Sie wickeln Sie das Ziel-element mit div-Tags
    2. Müssen Sie wickeln Sie den src-string mit div-tag.
    3. Wenn Sie schreiben die src-string direkt, und es beinhaltet js-Teile, nehmen Sie bitte Aufmerksamkeit, die zum schreiben der schließende script-tags korrekt (mit \ vor dem /), denn dies ist ein string.
    InformationsquelleAutor user3198805
  9. 1

    Verwenden $(parent).html(code) statt parent.innerHTML = code.

    Den folgenden behebt auch Schriften, die document.write und Skripte geladen über src Attribut. Leider auch das funktioniert nicht mit Google-AdSense-scripts.

    var oldDocumentWrite = document.write;
var oldDocumentWriteln = document.writeln;
try {
    document.write = function(code) {
        $(parent).append(code);
    }
    document.writeln = function(code) {
        document.write(code + "<br/>");
    }
    $(parent).html(html); 
} finally {
    $(window).load(function() {
        document.write = oldDocumentWrite
        document.writeln = oldDocumentWriteln
    })
}

    Quelle

    • ein bisschen spät hier, aber jemand, der möglicherweise diese Methode verwenden, beachten Sie, dass in JQuery Sie brauchen, um zu laden Sie Ihre Skripte mit $.loadScript(url) eher als <script src="url></script> - die letztere ist die Ursache für veraltet Synchronen XMLHttpRequest-Fehler, die auf Browser.
    InformationsquelleAutor iirekm
  10. 0

    Ja, Sie können, aber Sie haben, es zu tun außerhalb des DOM und den Auftrag hat, im Recht zu sein.

    var scr = '<scr'+'ipt>alert("foo")</scr'+'ipt>';
window.onload = function(){
    var n = document.createElement("div");
    n.innerHTML = scr;
    document.body.appendChild(n);
}

    ...Alarm 'foo'. Das wird nicht funktionieren:

    document.getElementById("myDiv").innerHTML = scr;

    - Und auch dies wird nicht funktionieren, da der Knoten wird zuerst eingefügt:

    var scr = '<scr'+'ipt>alert("foo")</scr'+'ipt>';
window.onload = function(){
    var n = document.createElement("div");
    document.body.appendChild(n);
    n.innerHTML = scr;  
}
    • Für was es Wert ist: das scheint nicht funktioniert auf aktuellen Browsern.
    • Das ist eigentlich eine gute Sache, denke ich.
    InformationsquelleAutor mwilcox
  11. 0

    Versuchen, mit Vorlage und Dokument.importNode. Hier ist ein Beispiel:

    HTML:

    <!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Sample</title>
</head>
<body>
<h1 id="hello_world">Sample</h1>
<script type="text/javascript">
 var div = document.createElement("div");
  var t = document.createElement('template');
  t.innerHTML =  "Check Console tab for javascript output: Hello world!!!<br/><script type='text/javascript' >console.log('Hello world!!!');<\/script>";
  
  for (var i=0; i < t.content.childNodes.length; i++){
    var node = document.importNode(t.content.childNodes[i], true);
    div.appendChild(node);
  }
 document.body.appendChild(div);
</script>
 
</body>
</html>

    • Das funktioniert nicht mit Microsoft Rand, alle anderen workaround?
    • Dies funktioniert nicht in Chrome entweder.
    • Firefox: funktioniert nicht.
    InformationsquelleAutor Gray
  12. 0

    Könnte man es so machen:

    var mydiv = document.getElementById("mydiv");
var content = "<script>alert(\"hi\");<\/script>";

mydiv.innerHTML = content;
var scripts = mydiv.getElementsByTagName("script");
for (var i = 0; i < scripts.length; i++) {
    eval(scripts[i].innerText);
}
    InformationsquelleAutor Jake
  13. 0

    Hier eine Lösung, die nicht eval, und arbeitet mit Skripte, verlinkten Skripte , sowie mit Module.

    Die Funktion erwartet 3 Parameter :

    • html : String mit dem html-code einfügen
    • dest : Referenz auf das Ziel-element
    • Anhängen : boolean-flag zu aktivieren anfügen am Ende von Ziel-element html -
    function insertHTML(html, dest, append=false){
    //if no append is requested, clear the target element
    if(!append) dest.innerHTML = '';
    //create a temporary container and insert provided HTML code
    let container = document.createElement('div');
    container.innerHTML = html;
    //cache a reference to all the scripts in the container
    let scripts = container.querySelectorAll('script');
    //get all child elements and clone them in the target element
    let nodes = container.childNodes;
    for( let i=0; i< nodes.length; i++) dest.appendChild( nodes[i].cloneNode(true) );
    //force the found scripts to execute...
    for( let i=0; i< scripts.length; i++){
        let script = document.createElement('script');
        script.type = scripts[i].type || 'text/javascript';
        if( scripts[i].hasAttribute('src') ) script.src = scripts[i].src;
        script.innerHTML = scripts[i].innerHTML;
        document.head.appendChild(script);
        document.head.removeChild(script);
    }
    //done!
    return true;
}
    • Ich meine... gefolgt von einem script-tag mit code-Inhalt ist eine eval, ist es nicht?
    • Es gibt notorische Differenzen ... versuchen eval('console.log(this)') und Sie werden sehen, die meisten offensichtliche
    • also der Kontext ist anders, und? es ist nur noch eine eval.
    • Nein, es ist nicht eine eval. Versuchen Sie, diese eval('let b=100') .. und dann versuchen, Zugriff auf b von außerhalb der eval .... viel Glück damit, du wirst es brauchen
    InformationsquelleAutor colxi
  14. 0

    Gabriel Garcia erwähnen, der MutationObservers ist auf dem richtigen Weg, aber nicht ganz für mich arbeiten. Ich bin nicht sicher, ob das war, weil der eine browser Eigenart oder durch einen Fehler auf mein Ende, aber die version, endete für mich zu arbeiten, war die folgende:

    document.addEventListener("DOMContentLoaded", function(event) {
    var observer = new MutationObserver(mutations=>{
        mutations.map(mutation=>{
            Array.from(mutation.addedNodes).map(node=>{
                if (node.tagName === "SCRIPT") {
                    var s = document.createElement("script");
                    s.text=node.text;
                    if (typeof(node.parentElement.added) === 'undefined')
                        node.parentElement.added = [];
                    node.parentElement.added[node.parentElement.added.length] = s;
                    node.parentElement.removeChild(node);
                    document.head.appendChild(s);
                }
            })
        })
    })
    observer.observe(document.getElementById("element_to_watch"), {childList: true, subtree: true,attributes: false});
};

    Sollte man natürlich ersetzen element_to_watch mit dem Namen des Elements, das geändert wird.

    node.parentElement.added dient zum speichern der script-tags, die Hinzugefügt werden, um document.head. In der Funktion zum laden der externen Seite, können Sie etwas wie das folgende zu entfernen, die nicht mehr entsprechenden script-tags:

    function freeScripts(node){
    if (node === null)
        return;
    if (typeof(node.added) === 'object') {
        for (var script in node.added) {
            document.head.removeChild(node.added[script]);
        }
        node.added = {};
    }
    for (var child in node.children) {
        freeScripts(node.children[child]);
    }
}

    Und ein Beispiel für den Anfang einer laden-Funktion:

    function load(url, id, replace) {
    if (document.getElementById(id) === null) {
        console.error("Element of ID "+id + " does not exist!");
        return;
    }
    freeScripts(document.getElementById(id));
    var xhttp = new XMLHttpRequest();
    //proceed to load in the page and modify innerHTML
}
    • Sie bemerken, dass u ' re hinzufügen eines neuen MutationObserver jedes mal, wenn ein element an das Dokument angefügt, richtig? Btw, ich Frage mich, warum tun Sie sagen, mein code ist nicht funktionsfähig.
    • Ich sagte Ihr code war nicht funktionsfähig, da ich es versuchte und es einfach nicht funktioniert. Betrachtet man es nun, es ist durchaus möglich, dass das auf mich nicht, und ich mich entschuldigen für die Art, wie ich formulierte diese. Fixieren Sie es jetzt.
    • re: das hinzufügen einer MutationObserver jedes mal, wenn ein element Hinzugefügt wird, um das Dokument, was redest du da? DOMContentLoaded, und ich zitiere aus MDN hier,"feuert, wenn das ursprüngliche HTML-Dokument vollständig geladen wurde und analysiert, ohne zu warten, für die stylesheets, Bilder und Teilbilder geladen." Das ist einmal, und nur einmal. Darüber hinaus ist dieses Skript funktioniert ohne Probleme auf meiner Seite und Debuggen zeigt es nur einmal passiert, so ist es einmal in der Praxis sowie in der Theorie.
    • u hast Recht... ich habe missridden es. Ich entschuldige mich auch.
    • Kein problem 🙂
    InformationsquelleAutor pixelherodev
  15. -1

    Meine Lösung für dieses problem ist es, eine Mutation Observer zu erkennen <script></script> Knoten und ersetzen Sie es mit einem neuen <script></script> Knoten mit der gleichen src. Zum Beispiel:

    let parentNode = /* node to observe */ void 0
let observer = new MutationObserver(mutations=>{
    mutations.map(mutation=>{
        Array.from(mutation.addedNodes).map(node=>{
            if ( node.parentNode == parentNode ) {
                let scripts = node.getElementsByTagName('script')
                Array.from(scripts).map(script=>{
                    let src = script.src
                    script = document.createElement('script')
                    script.src = src
                    return script
                })
            }
        })
    })
})
observer.observe(document.body, {childList: true, subtree: true});
    • Vielen Dank für downvoting mich ohne zu sagen, warum. Love u all.
    InformationsquelleAutor gabriel garcia
  16. -2

    Execute (Java-Script) - tag von innerHTML

    Ersetzen Sie Ihre script-element mit div mit einer class-Attribut class="javascript", und schließen Sie es mit </div>

    Nicht ändern Sie den Inhalt, den Sie ausführen wollen (vorher war es im script-tag und nun ist es in den div-tag)

    Hinzufügen Stil in Ihre Seite ein...

    <style type="text/css"> .javascript { display: none; } </style>

    Nun eval ausführen mit jquery(Jquery js sollte bereits im Lieferumfang enthalten)

       $('.javascript').each(function() {
      eval($(this).text());

    });`

    Erkunden Sie mehr hier, auf meinem blog.

    InformationsquelleAutor Knowledge Serve
Schreibe einen Kommentar