Laravel怎么在Blade中安全地输出原始HTML内容

使用 {!! !!} 可输出原始 HTML，但需先通过 HTMLPurifier 净化内容以防止 XSS 攻击，确保仅保留安全标签，避免在模板中直接过滤，保持逻辑与视图分离。

在 Laravel 的 Blade 模板中，默认情况下所有变量都会被自动转义，以防止 XSS 攻击。也就是说，如果你输出的内容包含 HTML 标签，它们会被转换成实体字符（比如 和 >），从而在页面上显示为文本而不是渲染为 HTML。

但有时你确实需要输出原始的 HTML 内容（例如从富文本编辑器保存的内容），这时可以使用以下方法安全地实现：

使用 {!! !!} 输出原始 HTML

Blade 提供了 {!! !!} 语法来输出未转义的内容：

{!! $htmlContent !!}

这会直接将 $htmlContent 中的 HTML 渲染到页面上。

注意：这种方式不会做任何转义，因此必须确保内容是可信的，否则可能引入安全风险。

确保内容安全：使用 HTML Purifier 过滤

为了在输出原始 HTML 的同时保障安全，建议先对内容进行净化处理，移除潜在的恶意标签和属性（如 、onerror= 等）。

推荐使用 HTMLPurifier 库：

• 通过 Composer 安装：
  composer require mews/purifier
• 在控制器或服务中使用：

use Mews\Purifier\Facades\Purifier;
$cleanHtml = Purifier::clean($dirtyHtml);

然后在 Blade 中输出净化后的内容：

{!! $cleanHtml !!}

这样既能保留合法的 HTML（如 p、strong、img 等），又能阻止恶意脚本执行。

避免在 Blade 中直接净化 HTML

不要在模板里做内容过滤，比如：

{{-- 不推荐 --}}
{!! Purifier::clean($content) !!}

逻辑应放在控制器或服务中，保持模板简洁且安全可控。

基本上就这些。只要记住：用 {!! !!} 输出原始 HTML，但前提是内容必须经过净化处理，确保不执行恶意代码。安全和功能之间需要平衡。