如何安全移除 HTML 中特定标签内的文本内容（避免正则解析）

本文介绍为何不应使用正则表达式处理 HTML，并提供基于 DOM 解析的专业方案，通过 DOMParser 或临时 DOM 节点清除 、、、 等标签内部的文本内容，确保结构安全、语义准确、无副作用。

本文介绍为何不应使用正则表达式处理 html，并提供基于 dom 解析的专业方案，通过 `domparser` 或临时 dom 节点清除 `

`、``、``、`` 等标签内部的文本内容，确保结构安全、语义准确、无副作用。

在 Web 开发中，一个常见误区是试图用正则表达式（regex）从 HTML 字符串中“提取链接”或“过滤文本”，同时排除特定标签（如

、）内部的内容。然而，HTML 是上下文敏感的嵌套结构，而正则表达式本质上不具备解析嵌套语法的能力。您提供的复杂正则虽能匹配 URL，但无法可靠判断某段文本是否位于 的属性值中、

的起始与结束标签之间，或是被注释、CDATA、JS 字符串等上下文包裹——这极易导致误匹配、截断或 XSS 风险。

✅ 正确做法：交由浏览器原生 HTML 解析器处理
现代浏览器提供了健壮、标准兼容的 DOM 解析能力。我们应利用 DOMParser（推荐）或临时 document.createElement('div')，将 HTML 字符串安全转换为 DOM 树，再精准定位并清空目标标签的子内容（保留标签本身），最后序列化回 HTML 字符串。

✅ 推荐方案：使用 DOMParser（无副作用、无需操作真实 DOM）

function sanitizeTags(html, tagsToEmpty = ['figure', 'img', 'picture', 'trix-attachment']) {
  const parser = new DOMParser();
  const doc = parser.parseFromString(html, 'text/html');

  tagsToEmpty.forEach(tagName => {
    const elements = doc.querySelectorAll(tagName);
    elements.forEach(el => {
      // 清空所有子节点，仅保留空标签（如 @@##@@ → @@##@@，<figure> → <figure></figure>）
      el.replaceWith(doc.createElement(tagName));
    });
  });

  // 注意：parseFromString 生成的文档无 <body> 时，doc.body 可能为 null；
  // 安全写法：取 body 内容，若无则取整个 documentElement
  return doc.body?.innerHTML || doc.documentElement?.innerHTML || '';
}

// 使用示例
const input = 'Check this: https://example.com. Here is a figure: <figure>@@##@@<p>Remove me!</p></figure>. And an image: @@##@@Keep this link: https://safe.org';
const result = sanitizeTags(input, ['figure', 'img']);
console.log(result);
// 输出：Check this: https://example.com. Here is a figure: <figure></figure>. And an image: @@##@@.Keep this link: https://safe.org

⚠️ 注意事项与最佳实践

• 不修改原始 DOM：DOMParser 在内存中构建独立文档，完全隔离，不会触发渲染、脚本执行或影响页面状态；
• 自动处理 HTML 特性：正确解析自闭合标签（如 ）、命名空间、实体编码（&）、属性引号差异（单/双/无引号）及嵌套边界；
• 标签名大小写不敏感：getElementsByTagName() 和 querySelectorAll() 均遵循 HTML 规范，对 IMG、img、Img 一视同仁；
• 保留标签结构，不破坏语义：清空内容后仍保留原始标签（含所有属性），例如 → （内容为空），而非删除整行；
• 扩展性强：只需向 tagsToEmpty 数组添加新标签名（如 'video'、'iframe'）即可支持；
• 服务端注意：DOMParser 是浏览器环境 API；Node.js 中请使用 jsdom 或 cheerio 替代（原理相同：基于真实/模拟 DOM 解析）。

❌ 为什么不优化正则？（重要提醒）

即使为正则添加负向先行断言（如 (?!(?:(?!)）试图跳过

简单AI

搜狐推出的AI图片生成社区

下载

• 无法处理标签嵌套（如

  

  ）；
• 无法识别属性中的 URL（ 中的链接会被错误捕获）；
• 对 malformed HTML（缺失闭合标签、错误转义）鲁棒性极差；
• 性能随文本长度和正则复杂度指数级下降。

? 结论：任何需要理解 HTML 结构的操作，都应委托给 HTML 解析器，而非正则引擎。这是 Web 标准实践，也是防御 XSS 和保证数据完整性的基石。

立即学习“前端免费学习笔记（深入）”；

将上述 sanitizeTags 函数集成至您的文本预处理流程，即可安全、可靠、可维护地实现目标需求。