错误:This document requires ‘TrustedHTML‘ assignment.

已于 2023-08-08 17:01:54 修改
阅读量2.7k 收藏 5
点赞数 3
文章标签: json js
于 2023-08-08 16:52:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DESERTo/article/details/132170242
版权

This document requires ‘TrustedHTML’ assignment.

翻译:此文档需要“可信脚本URL”分配(就是说这样写不安全)
Trusted Types 的工作原理是锁定有风险的接收器函数。[会抛出错误,但不影响任务执行]
基于 DOM 的跨站点脚本 (DOM XSS) 是最常见的 Web 安全漏洞之一,并且您的应用程序很容易将其引入。Trusted Types 默认对危险的 Web API 函数加以保护,从而提供了编写、安全审核和维护无 DOM XSS 漏洞的应用程序的工具。Chrome 83 支持 Trusted Types,其他浏览器可以使用 polyfill。有关最新的跨浏览器支持信息,请参阅浏览器兼容性。

解决方法如下:
安装 DOMPurify 库。

npm install --save DOMPurify

创建一个文件 。
#+ trusted-security-policies.js
在捆绑程序的入口点(例如 webpack)中,首先导入此文件(在任何可能违反内容安全策略的代码之前)

import './path/to/trusted-security-policies';


import DOMPurify from 'dompurify';

if (window.trustedTypes && window.trustedTypes.createPolicy) { // Feature testing
    window.trustedTypes.createPolicy('default', {
        createHTML: (string) => DOMPurify.sanitize(string, {RETURN_TRUSTED_TYPE: true}),
        createScriptURL: string => string, // warning: this is unsafe!
        createScript: string => string, // warning: this is unsafe!
    });
}

这是做什么的:每当将字符串分配为解析为 HTML、URL 或脚本时,浏览器都会通过定义的处理程序函数自动传递此字符串。

对于 HTML,HTML 正在由 DOMPurify 库从潜在的 XSS 代码中清除。
修复违规 #
有几个选项用于修复 Trusted Type 违规。您可以删除违规代码,使用库,创建 Trusted Type 策略,或者创建默认策略作为最后手段。

更多可以根据这篇文章了解

DESERTo
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ECMA Script 5学习笔记—4.2 语法专题:错误处理
aoolly的博客
07-07 352
1.Error实例对象 JavaScript 解析或运行时,一旦发生错误,引擎就会抛出一个错误对象。 JavaScript 原生提供Error构造函数,所有抛出的错误都是这个构造函数的实例。抛出Error实例对象以后,整个程序就中断在发生错误的地方,不再往下执行。 JavaScript 语言标准只提到,Error实例对象必须有message属性,表示出错时的提示信息,没有提到其他属性。大多数 JavaScript 引擎,对Error实例还提供name和stack属性,分别表示错误的名称和错误的堆栈,但它们是
Mixed Content: The page at ‘https:...‘ was loaded over HTTPS, but requested an insecure script ‘http
baidulixueqin的博客
05-08 1777
今天把个人博客上传github预览时发现样式没了,打开控制台发现请求被拦截。 原因: 浏览器不允许在https页面里嵌入http的请求,现在高版本的浏览器为了用户体验,都不会弹窗报错,只会在控制台上打印一条错误信息。如下图所示: 解决方法 1’ 既然不支持http,那就改为https 2’ 将http自动升级为https 将调用的http请求升级成https请求 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure
vue使用print.js详解(打印不全、样式丢失等)
热门推荐
落花生
07-12 1万+
首先网上已经有很多使用步骤,比如 https://www.jianshu.com/p/c5363ddf7d43 相关链接:pringt.js github地址里面也有使用说明 主要记录以下使用时发现的问题: 1.样式问题 我使用的element组件,发现分栏布局 xs\md\lg没有效果。我想大概这种组件封装的样式使用都有点问题。从这思路去入手解决吧。我看了许多,目前好像没有什么好的解决样式的方法。(我的改动不大,把css改成了本地媒体查询显示百分比。当然打印时,只使用基础的显示样式,不会根据屏.
JavaScript学习问题笔记(1)
Stephanie的专栏
05-06 418
文本主要记录,我自己最近在初学JavaScript的过程中,遇到的各种磕磕绊绊,属于初级教程的记录。JS使用ajax()加载本地资源报错JS使用jquery的ajax()试图加载一个json文件的时候在chrome上运行报错:index.html:1 Failed to load http://localhost:9839/wx/china-main-city/150100.json: No 'A...
Failed to execute atob on Window
最新发布
liyichuanZhengzhou的博客
05-28 8304
解决方案:去掉 base64 中开头的 data:image/png;base64, 即可。
Chrome报JS警告
用文章记录成长
12-13 2919
Resource interpreted as script but transferred with MIME type text/html. 解决办法: 打开注册表: 将text/plain,改为:text/javascript就可以了。
VirtualBox 错误:This kernel requires the following features not present on the CPU
09-15
主要介绍了VirtualBox 错误:This kernel requires the following features not present on the CPU的相关资料,希望通过本文能帮助到大家,解决这样的问题,需要的朋友可以参考下
MySQLdb ImportError: libmysqlclient.so.18解决方法
09-10
然而,当你尝试导入MySQLdb时,可能会遇到“ImportError: libmysqlclient.so.18: cannot open shared object file: No such file or directory”的错误,这通常是由于系统无法找到必要的MySQL客户端库文件导致的。...
This application requires Visual Studio 2013 Redistributable.
11-22
MySql5.7.20安装过程中报错 This application requires Visual Studio 2013 Redistributable. Please install the Redistributable then run this installer again. 的解决办法.报错如下: 1: Action 10:59:21: ...
java.lang.ClassNotFoundException异常的解决1
08-08
3. **使用模块系统(Java 9+)**:如果你的项目已经迁移到了Java 9的模块系统,你可以通过`requires`语句在模块定义中明确声明对JAXB的依赖。例如,在`module-info.java`文件中添加: ```java module ...
在Chrome中拦截替换远程js资源
夕山雨的博客
04-29 5728
如何使用Chrome工具替换和修改远程脚本
chrome浏览器 docker_Chrome准备添加一个新特性号称可以全面消除 DOM XSS
weixin_36470210的博客
12-26 239
Chrome 即将在 83 版本新增一个可信类型(Trusted types),其号称这一特性可以全面消除 DOM XSS,为此我连夜分析了一波,下面我就带大家来具体看一下这个特性:DOM XSS 多年来,DOM XSS 一直是最普遍且最危险的 Web 安全漏洞之一。根据去年发布的 Imperva 报告,XSS 漏洞是 2014 年、2015 年、2016 年和 2017 年最普遍的基于...
AngularJS—Toaster使用详解
此博客已停用,博文会逐渐转移到新地址,http://blog.csdn.net/liupeifeng3514
02-23 2625
AngularJS Toaster是一个 AngularJS 提示框.基于angular v1.2.6 及以上和angular-animate. (推荐使用 /1.2.8/angular-animate.js, 因为高版本会有怪异闪烁.) 引入脚本<link href="https://cdnjs.cloudflare.com/ajax/libs/angularjs-toaster/0.4.16/
VUE页面报错Failed to execute ‘setAttribute‘ on ‘Element‘: ‘,
万物不及香香的博客
09-14 2983
Failed to execute 'setAttribute' on 'Element': ',
JavaScript的按钮方法报错:1 argument required, but only 0 present.
二木成林
10-20 4907
错误 错误代码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>测试</title> </head> <body> <button type="button" onclick="createElem...
内容安全策略 (CSP)
allway2的博客
09-05 6037
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
本地运行静态html项目——记一次加密环境下排错的过程
qietingfengsong的博客
04-12 375
一个引用路径错误,因为在加密环境下导致走了部分弯路
TypeError: descriptor strftime requires a datetime.date object but received a str
03-23
错误提示意味着 strftime 函数需要一个 datetime.date 对象作为参数,但是你传递了一个字符串。你需要将字符串转换为 datetime.date 对象,然后再调用 strftime 函数。你可以使用 datetime 模块中的 strptime 函数将字符串转换为 datetime.date 对象,然后再调用 strftime 函数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值