javascript - Angular 8 DomSanitizer 白名单？-6ren

javascript - Angular 8 DomSanitizer 白名单？

转载作者：行者123 更新时间：2023-12-02 22:05:16

27

4

我在网页中使用 Angular(8)，并希望将多个 iframe 显示为 innerHTML。

默认情况下， Angular domsanitizer 会删除危险元素。我知道我可以使用 bypassSecurityTrustHtml 函数等来禁用此功能。(https://angular.io/api/platform-browser/DomSanitizer)

由于内容将由用户生成，因此我无法简单地绕过 Domsanitizer，因为它风险太大。但是我想知道是否可以允许某些已知的域，例如我自己的域。因此，我需要为 Sanitizer 提供某种带有安全域的白名单。到目前为止，谷歌没有返回任何有用的信息，所以我想知道:这可能吗？如果是，我该怎么做？

最佳答案

我认为在 Angular 中很难做到这一点，除非你实现自己的 DomSanitizer。基于源码here ，iframe 不在白名单中。过滤规则似乎无法扩展。我建议您自己在这里进行过滤，或者使用一些第三方库，例如 js-xss它允许您定义 while 列表。

关于javascript - Angular 8 DomSanitizer 白名单？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59740721/

27

4

0

文章推荐： javascript - 如何向express服务器提交表单数据？

文章推荐： assembly - 为什么 $ra 被调用者保存在 RISC-V 中

angular - 创建抽象类 DomSanitizer 的实例
在 Angular 组件中，我们可以注入(inject) DomSanitizer 并使用它。 @component({..}) export class myComponent{ construc
javascript - Angular、DomSanitizer、绕过安全脚本
我正在玩 bypassSecurityTrust* Angular 函数。目标是获得 script要在页面上执行的标记。但它要么继续使用消息进行 sanitizer WARNING: sanitizi
javascript - 所有特殊字符代码均未使用 Domsanitizer 转换为相应的符号
我在字符串 Ex: "Test'Name"中有撇号 (') 代码，我使用 Domsanitizer 对其进行清理以将 ' 转换为撇号。但是，如果我有双引号代码 (")，它不会被转换为相应的符号。不仅如
Angular DomSanitizer - SecurityContext.NONE
官方 Angular Security Guide谈到 4 个安全上下文:HTML、Url、Style 和 Resource Url。每个人负责清理相应类型的资源。此外，DomSanitizer
Angular 2 尝试启动时缺少 domsanitizer
我运行 angular2 rc 5 一切正常，直到我重新启动我的电脑并再次执行 npm 启动，然后重新启动电脑一切正常当我尝试再次开始我的项目时有一个错误说， node_modules/@angul
angular - 使用 DomSanitizer 后，图片网址仍然不安全
我用 DocumentsService之后我使用 URL.createObjectURL(result) 从服务器获取图像文件从服务器响应创建图像 url，一切正常，但我不断收到关于的错误sanit
javascript - Angular 8 DomSanitizer 白名单？
我在网页中使用 Angular(8)，并希望将多个 iframe 显示为 innerHTML。默认情况下， Angular domsanitizer 会删除危险元素。我知道我可以使用 bypassS
javascript - 进行 DomSanitizer API 调用时不使用基本属性？
我正在使用 DomSanitizer 调用电话，如下所示: this.domSanitizer.bypassSecurityTrustResourceUrl(url)); url 是正
html - 带有超链接的 Angular 5 DomSanitizer
我正在使用所见即所得编辑器 (CKEditor) 并尝试使用 Angular 5 呈现内容。我想弄清楚的是在 Angular 5 中使用 DomSanitizer 的正确方法。我面临的问题是超链接在
Angular - DomSanitizer 安全绕过 - innerHTML 样式奇怪的重新加载效果
我有一个应用程序，用户可以在其中编写文档。内容以 html 的形式提供，其中可能包含“未保存的内容”。例如带有 YouTube 视频的 iframe。我是这样输出的组件方法 getMainCo
Angular 2、DomSanitizer、绕过SecurityTrustHtml、SVG
我一直在将 DomSanitizer 与 HTML 字符串中的 SVG 一起使用。在当前版本的 Angular 之前，这工作得很好: this.domSanitizer.bypassSecurity
使用 eval 或 domsanitizer 执行自定义用户脚本的 Javascript
我们正在开发 Angular 8 PWA 应用程序。该应用程序的一部分允许我们的客户创建自己的自定义表单来收集数据。作为开发的一部分，我们正在整合一组函数来与数据交互。然而，由于我们很难为每个场景提
Angular2 innerHTML 删除属性，使用 DomSanitizer 需要帮助
我只需要在带有 id "main-wrapper" 的 div 中注入(inject) HTML，所以在我的 component.ts 中我使用了这段代码 import { Component
具有 DomSanitizer 依赖性的 Angular 6 单元测试组件
在仅创建(实例化)具有 DomSanitizer 依赖项的组件的单元测试中，如何模拟/ stub 此依赖项？因为DomSanitizer 是一个Abstract 类，所以我不知道bypassSecu
css - Domsanitizer bypasssecuritytruststyle 在 ie 11 中不起作用
Html:- 这里我设置了 modalStyle 中的样式属性，它是 typescript 组件:- 在 typescript 中，我使用 domsanitizer 设置高度、显示、最小高度，这在
html - Angular DomSanitizer : Sanitizing Mask-Image Not Working
为元素提供背景图片时，一切正常: 但是我怎样才能为一个元素提供一个mask-image呢？这: 不工作。还有不起作用。我什至没有在控制台中收到警告。这是由于 DomSanitizer 对
angular - ngFor youtube 链接与 Angular2 中的 Domsanitizer
我的模拟内存数据库中有 youtube 链接，我想 *ngFor 这些来自 youtube 的视频。 let videos: any[] =[ {videoURL: "Z
css - 使用 Angular 的 DomSanitizer 清理 CSS
我想在将其注入(inject) 之前清理一些 CSS 中的标签我的应用程序。我像这样通过 DomSanitizer 传递它: const safeCSS = this.domSanitzer.s
angular - DomSanitizer 错误 "URL Segment: ' null'”
最近在我们的 Angular 2 应用程序中，我们通过 iframe 添加了一个视频组件来提取外部嵌入式视频。此外，我们通过利用 DomSanitizer 的管道清理这些资源 URL。问题是我们经常(
javascript - 使用 DomSanitizer 绕过安全性后，安全值必须使用 [property]=binding
//Controller code @ViewChild('mass_timings') mass_timings: ElementRef; constructor(private domSani

首页

博学

6Ren·AI

商城

javascript - Angular 8 DomSanitizer 白名单？