Angular 使用DomSanitizer防范跨站脚本攻击

已于 2024-04-11 09:47:27 修改
阅读量617 收藏 1
点赞数 10
文章标签: 前端 javascript
于 2024-04-09 23:53:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dominic_W/article/details/137571641
版权

跨站脚本Cross-site scripting

简称XSS,是代码注入的一种,是一种网站应用程序的安全漏洞攻击。它允许恶意用户将代码注入到网页上,其他用户在使用网页时就会收到影响,这类攻击通常包含了HTML和用户端脚本语言(JS)。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但是实际上也可以是Java、VBScript、ACtiveX、Flash甚至是一些普通的HTML。攻击成功后,攻击者可能得到更高的操作权限、私密网页内容、会话和cookie等各种内容。

Angular中的DomSanitizer服务

在Angular中,网站默认将所有的输入值视为不受信任的值,当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular 2 会自帮我们清除和转义不受信任的值。
DomSanitizer服务主要用于在Angular应用中对HTML、CSS和URL进行安全的处理和转换,以防止XSS安全漏洞。
在前端需要根据后端接口返回的数据进行显示时,就需要使用DomSanitizer进行处理。

DomSanitizer的几种用法

在Angular中使用DomSanitizer时,首先在组建中引入DomSanitizer服务,随后在组建构造器中通过依赖注入的方式获取到它的实例,如下面代码所示,这就是在一个最简单的组件中引入DomSanitizer服务器的方法。

import { Component, OnInit } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';

@Component({
  selector: 'app-index',
  templateUrl: './app-index.component.html',
  styleUrls: ['./app-index.component.less'],
})
export class AppIndexComponent implements OnInit{

  constructor(
    public sanitizer: DomSanitizer,
  ) {}

  ngOnInit() {}
}

通过this.sanitizer.使用这个服务时发现,它有六个方法供开发者使用,如下所示:
在这里插入图片描述

abstract class DomSanitizer implements Sanitizer {abstract sanitize(context: SecurityContext, value: SafeValue | string | null): string | null
abstract bypassSecurityTrustHtml(value: string): SafeHtml
abstract bypassSecurityTrustStyle(value: string): SafeStyle
abstract bypassSecurityTrustScript(value: string): SafeScript
abstract bypassSecurityTrustUrl(value: string): SafeUrl
abstract bypassSecurityTrustResourceUrl(value: string): SafeResourceUrl
bypassSecurityTrustHtml
import { Component, OnInit} from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Component({
  selector: 'app-test',
  templateUrl: './app-test.component.html'
})
export class AppTestComponent implements OnInit {

  html='<h1>Hello world!<h1>';
  shtml: SafeHtml;

  constructor(private sanitizer: DomSanitizer) { }

  ngOnInit() {
    this.shtml =this.sanitizer.bypassSecurityTrustHtml(this.html);
  }
}


<div [innerHTML]="shtml"></div>
bypassSecurityTrustUrl
import { Component, OnInit, DomSanitizer } from '@angular/core';
 
@Component({
  selector: 'app-test',
  template: `
    <img [src]="formattedUrl">
  `
})
export class AppTestComponent implements OnInit {
  originalUrl: string = 'https://example.com/images/{{ imageName }}.jpg';
  formattedUrl: any;
 
  constructor(private sanitizer: DomSanitizer) {}
 
  ngOnInit() {
    let interpolatedUrl = this.originalUrl.replace('{{ imageName }}', 'malicious-script');
    this.formattedUrl = this.sanitizer.bypassSecurityTrustUrl(interpolatedUrl);
  }
}

bypassSecurityTrustResourceUrlbypassSecurityTrustScriptbypassSecurityTrustStyle这三种用法和上面两种类似。

<!-- bypassSecurityTrustStyle -->
<div [style]="sstyle"></div>
<!-- bypassSecurityTrustResourceUrl -->
<iframe [src]="surl"></iframe>
sanitize
Hansel.Wn
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Angular6中使用Swiper的方法示例
08-27
主要介绍了Angular6中使用Swiper的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
前端开源库-domsanitizer
08-30
前端开源库-domsanitizerdomSanitizer,用于生成有效HTML内容的可解析树转换器的模板。
DomSanitizer 安全URL脚本访问,Angular 和 TypeScript
Neokekeke的博客
12-07 1712
Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用
Angular4中使用DomSanitizer
always_____的博客
05-17 6843
作用 DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文中安全使用。 为什么会需要使用DomSanitizer Angular4中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular4会自帮我们清除和转义不受信任的值。 如下有个例子: ...
angular使用[innerHTML]时样式不生效
qq_15509267的博客
07-08 2938
一、问题描述 使用[innerHTML]向angular的模板中添加模板时,被添加模板中的css样式不生效。 二、详细介绍 【1】需要根据数据模型动态创建表格的表头(部分代码如下): //模板 .../ <td [innerHTML]="col.render?col.render(item[col.key],col.key,i,item):item[col.key]">&l...
Angular——DomSanitizer服务
最新发布
qq_44327851的博客
12-13 782
常见的使用场景包括将不受信任的HTML内容转换为安全的HTML以进行显示,或者对URL进行安全地转换以在应用中使用。:当需要在应用中使用动态生成的URL时,例如通过`[src]`属性加载图片、视频等资源,可以使用`DomSanitizer`服务对URL进行安全地处理,以确保URL不包含恶意代码或攻击。:当需要在应用中动态生成HTML内容并将其显示在页面上时,可以使用`DomSanitizer`服务来确保生成的HTML内容是安全的,以避免XSS攻击。服务可以用于处理其他安全性相关的场景。
angular2中DomSanitizer的5种用法记录
涂涂
01-08 9507
1.Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页
angular7中渲染html数据,解决样式无效问题
yw00yw的博客
08-23 3014
angular项目中,往页面上渲染html数据的时候,使用的是[innerHTML]来渲染,一般渲染富文本中的Html数据,比如新闻详情之类。但是发现,渲染之后,没有了行内样式。解决方法如下: 在app下新建管道文件 ng g pipe pipes/html 在HtmlPipe管道中,写入如下代码: import { Pipe, PipeTransform } from '@angular/...
html代码过滤器,angular2项目中html代码被安全过滤器筛掉的问题
weixin_34351588的博客
06-10 307
16.12.23 安全过滤器需要渲染的代码如下:3–√对比使用[innerHtml]指令与原生innerHtml:解决方法:使用ng2服务DomSanitizer中的bypassSecurityTrustHtml方法具体操作:使用pipe过滤器进行封装。import { DomSanitizer } from '@angular/platform-browser';import { Pipe, P...
angular innerHtml内容增加样式
消失的终点线的专栏
05-30 5873
问题:使用innerHtml属性赋值一段html片段时,片段中的样式css会被忽略。解决:可使用DomSanitizer将其转化一下。这里定义了一个pipe,具体如下:import { Pipe, PipeTransform } from "@angular/core"; import { DomSanitizer } from '@angular/platform-browser'; // h...
domsanitizer:用于生成有效 HTML 内容的可解析树转换器的模板
05-29
消毒剂 用于生成有效 HTML 内容的可解析树转换器的模板。 该项目的目标是在这些(或更多)项目中提供统一的变压器 ,基于domtagger ,也基于domtagger 该项目负责最终的错误转换,以便更新一次,将修复所有依赖项。
Angular使用$http.jsonp发送跨站请求的方法
10-20
下面我们将详细讨论如何在Angular使用$http.jsonp发送跨站请求,以及可能遇到的问题和解决方案。 首先,JSONP的工作原理是:客户端(浏览器)向服务器发送一个请求,请求中包含一个回调函数名,服务器接收到请求...
Angular使用Md5加密的解决方法
08-29
主要介绍了Angular使用Md5加密的解决方法,需要的朋友可以参考下
Angular使用Restful的增删改
10-17
今天小编就为大家分享一篇关于Angular使用Restful的增删改,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Angular PWA使用的Demo示例
10-17
主要介绍了Angular PWA使用的Demo示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【荐】Angular如何防御XSS攻击
野草园
08-18 5804
XSS攻击是比较常见的网站攻击方式,Angular框架也考虑到了这点,专门做了一些处理。本文就Angular如何防御XSS攻击做了简单介绍。
讲课内容
weixin_34272308的博客
05-13 98
一、 上传本地图片显示发生了unsage iframe 的 src 属性是资源 URL 安全上下文,因为不可信源可以在用户不知情的情况下执行某些不安全的操作。 DomSanitizer 安全URL脚本访问 XSS :是网站 Angular 2 如何保护我们免受 XSS 攻击 Angular 2 中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等...
Angular4 绑定html内容 警告处理
热门推荐
xiaotuni的专栏,每天进步一点点
08-14 1万+
绑定html内容如果用正常的方法去绑定的话,可能会出再这种警告<div [innerHTML]="Catcha" ></div> --------------------------------------- WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).而且页面上也显示不出东西来
xss跨站脚本攻击尽可能详细
05-17
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过注入恶意脚本,将其传递到用户的浏览器中,从而在受害者的浏览器上执行恶意脚本,达到控制网站、窃取用户信息等目的。 XSS分为反射...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值