JS中innerHTML的作用及使用方法

里面包含了一个和一些文字，divElement.innerHTML就会返回Some textMore text这样的字符串。

而当你给innerHTML赋值时，这才是它真正强大的地方。你把一段HTML格式的字符串赋给它，浏览器会立刻解析这段字符串，然后用解析后的新内容完全替换掉原元素内部的所有子节点。这意味着，你不需要一个一个地创建元素、设置属性、再追加到DOM树上，只需要一行代码就能完成复杂的DOM结构更新。我个人觉得，对于那些需要快速替换或加载大块HTML内容的场景，比如从服务器获取了一段渲染好的HTML片段，直接用innerHTML赋值是最直接、最省事的办法。

举个例子，如果你有一个空的div，想往里面加一个段落和一个链接：

let myDiv = document.getElementById('myContainer');
myDiv.innerHTML = '<p>这是一段新的内容。</p><a href="#">点击这里</a>';

执行这行代码后，myContainer这个div里面就会立刻出现一个p标签和一个a标签。这种方式，在需要动态生成或者更新大量结构化内容时，效率是显而易见的。不过，它的便利性也伴随着一些需要深思熟虑的风险和局限性。

innerHTML 和 textContent 有什么区别？

这是一个前端开发者经常会遇到的问题，也是理解innerHTML的关键所在。说实话，我刚开始接触DOM操作的时候，也经常把它们搞混。简单来说，innerHTML处理的是HTML结构，而textContent处理的只是纯文本。

具体点讲，当你使用textContent时，它只会获取或设置元素的纯文本内容，会忽略所有的HTML标签。比如，如果你的div里有

Hello World!

，divElement.textContent会返回Hello World!。它不会解析任何HTML标签，也不会把标签当作内容的一部分返回。这使得textContent在需要获取用户输入的纯文本，或者只想显示一段不包含任何格式的文字时，非常安全和高效。

相比之下，innerHTML则完全不同。它会把所有HTML标签都包含在内，并且当你赋值时，它会把字符串当作HTML来解析。所以，如果你把

Hello World!

赋值给divElement.innerHTML，它会渲染出一个加粗的“World”。但如果你把它赋值给divElement.textContent，那么页面上会直接显示

Hello World!

这段字符串，而不是渲染出的HTML。

在我看来，选择哪个取决于你的具体需求：

• 如果你需要操作或显示包含HTML标签的结构化内容，innerHTML是你的选择。
• 如果你只需要处理纯文本，不希望任何HTML标签被解析，并且关心安全性（尤其是用户输入），那么textContent无疑是更优、更安全的方案。我个人在使用用户输入时，总是优先考虑textContent或者更精细的DOM操作，以避免不必要的麻烦。

使用 innerHTML 时需要注意哪些安全风险？

谈到innerHTML，安全风险是绝对绕不开的话题，而且这风险可不小。最主要的就是跨站脚本攻击（XSS）。这玩意儿，说白了就是攻击者通过某种方式，把恶意脚本注入到你的网页里，然后这段脚本在用户的浏览器上执行，从而窃取用户数据、劫持会话，甚至篡改页面内容。

innerHTML之所以容易成为XSS的温床，就在于它会直接解析你给它的字符串。如果这个字符串来源于不可信的源（比如用户输入、第三方API返回的数据），并且没有经过严格的净化处理，那么攻击者就可以在其中嵌入