Knockoutのhtmlバインディングとは、パラメーターの値に応じ、関連付けられたDOM要素内のHTMLを書き換える可視バインディングのひとつである。
textバインディングとほぼ同じだが、htmlバインディングは文字列がHTMLエスケープされずに直接書き込まれる。つまり一歩間違えば重大なセキュリティホールとなりうる諸刃の剣である。
目次
パラメーター
Knockoutは、関連付られたDOM要素内のHTML(innerHTMLプロパティ)を、パラメーターの値で上書きする。
このパラメーターがKnockout/observableの場合は、値を更新するたびにHTMLも更新する。パラメーターがobservableでない場合はバインディング適用時(Knockout/applyBindings実行時)に1回だけ更新されて以降は更新されない。
パラメーターの値の型が数値(number型)または文字列(string型)の場合はそのものを、それ以外の場合はtoString()メソッドを実行した結果でテキストを上書きする。
使用例
hello world
「hello, world」はこんな感じ。 内容自体はtextバインディングとほぼ同じである。HTMLがエスケープされるか、されないかの違いしかない。
<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="UTF-8">
<title>knockout.js - html bindding sample 1</title>
<script type="text/javascript" src="jquery-1.5.1.min.js"></script>
<script type="text/javascript" src="knockout-2.0.0.js"></script>
<script type="text/javascript">
jQuery(function() {
// モデル
var AppViewModel = function() {
this.message = ko.observable("<b>hello</b>, knockout");
}
// バインディング適用
ko.applyBindings(new AppViewModel());
});
</script>
</head>
<body>
<div data-bind="html: message"></div>
</body>
</html>
HTMLエンコーディングについて
htmlバインディングはDOM要素のinnerHTMLプロパティを使用して書き換えを行うため、使い方を誤ればスクリプト・インジェクション攻撃をうけるセキュリティホールとなりうるので、信頼されていないモデルの値は絶対に使用してはいけない。
コンテンツが安全であることを保証できない場合は、textバインディングを使用すること。