JavaScript是一種非常流行的編程語言，可以用于前端網(wǎng)頁開發(fā)、后端服務(wù)器構(gòu)建和移動應(yīng)用程序開發(fā)等。在前端網(wǎng)頁開發(fā)中，有時候需要對用戶輸入的字符串進行過濾，去除其中的HTML標簽，避免潛在的安全風險。本文將介紹一種使用JavaScript過濾標簽的方法。

要過濾掉輸入字符串中的HTML標簽，可以使用正則表達式。下面的代碼展示了如何使用正則表達式去除字符串中的HTML標簽：

function removeTags(input) {
return input.replace(/<\/*[a-zA-Z]+>/g, '');
}
console.log(removeTags('<p>hello</p><script>alert("Hello world!");</script>'));
// Output: helloalert("Hello world!");

上述代碼中，我們使用了正則表達式“/<\/*[a-zA-Z]+>/g”，這個正則表達式的意思是找到所有以 "<" 開頭，后面是字母（不限大小寫），跟著0個或多個字母或數(shù)字，最后以 ">" 結(jié)尾的字符串，并將其替換為空字符串。通過這種方式，我們就可以把輸入字符串中的HTML標簽去掉。

不過需要注意的是，這種方法只是去掉HTML標簽，而不能過濾其他的惡意代碼。比如，下面的代碼：

console.log(removeTags(''));
// Output:

在上述代碼中，使用了一個 img 標簽引入一個圖片，但是在鏈接無法打開的情況下，會執(zhí)行一個 onerror 事件，執(zhí)行一個彈窗。如果輸入的字符串中帶有這種惡意代碼，那么過濾HTML標簽的方法是無法防止這種攻擊的。因此，為了更加安全，我們需要使用其他方法過濾潛在的惡意代碼。

一個好的做法是使用 DOM 來創(chuàng)建一個虛擬的 HTML 元素，并將用戶輸入的字符串作為元素的 innerHTML，這樣就可以過濾掉潛在的惡意代碼，并展示純文本內(nèi)容。下面的代碼展示了如何使用 DOM 來過濾潛在的惡意代碼：

function removeMaliciousCode(input) {
var temp = document.createElement('div');
temp.innerHTML = input;
return temp.textContent || temp.innerText || '';
}
console.log(removeMaliciousCode('<p>hello</p><script>alert("Hello world!");</script>'));
// Output: hello

上述代碼中，我們創(chuàng)建了一個 div 元素，并將輸入字符串賦值給其 innerHTML。由于 innerHTML 可以解析 HTML 內(nèi)容，因此這種方法能夠過濾掉潛在的惡意代碼。最后，我們通過使用 innerText 或 textContent 來獲取純文本的內(nèi)容。

綜上所述，使用 JavaScript 過濾標簽的方法可以通過正則表達式或 DOM 來實現(xiàn)。但是需要注意，僅僅過濾掉HTML標簽是遠遠不夠的，還需要注意其他潛在的惡意代碼。因此，在處理用戶輸入內(nèi)容時需要格外謹慎，使用專門的庫可以更好地防護你的網(wǎng)頁不受攻擊。