Angular DomSanitizer - SecurityContext.NONE

【问题标题】:Angular DomSanitizer - SecurityContext.NONEAngular DomSanitizer - SecurityContext.NONE
【发布时间】:2017-11-05 09:08:08
【问题描述】:

官方 Angular Security Guide 谈到了 4 个安全上下文:HTML, Url, Style and Resource Url
每个人都负责清理相应类型的资源。
另外DomSanitizer服务中有5个方法(每种资源类型)

 - bypassSecurityTrustHtml 
 - bypassSecurityTrustScript
 - bypassSecurityTrustStyle 
 - bypassSecurityTrustUrl
 - bypassSecurityTrustResourceUrl

但是,我没有在官方文档中找到任何提及 SecurityContext.NONE 的内容。它是代码中的does exist

我假设它聚合了所有资源类型,这意味着被清理的资源可以是 HTML,其中包含样式和脚本。

是这样吗?有官方消息吗?

【问题讨论】:

    标签: angular dom sanitization html-sanitizing angular-dom-sanitizer


    【解决方案1】:

    显然,如果我们将domSanitizer.sanitizeSecurityContext.NONE 一起使用,它将不会执行任何卫生操作,而will return 的值将保持不变。

    因此,这将允许带有嵌入 URL、样式和脚本的 HTML。

    因此强烈建议不要在您的代码中使用它。

    【讨论】:

    • 他们真的可以改进他们的文档... 太可怕了,这么久了还没有记录...
    • 那……太可怕了。我原以为“无”的意思是“完全不受信任”,结果证明它的意思是“完全值得信赖”。
    猜你喜欢
    • 2018-09-30
    • 2017-02-12
    • 2018-11-10
    • 2018-04-05
    • 2020-05-01
    • 1970-01-01
    • 1970-01-01
    • 2019-06-12
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode