innerHTML + bypassSecurityTrustHtml 导致节点重复渲染(innerHTML 中有多个函数时的执行顺序问题)

已于 2022-03-05 07:37:11 修改
阅读量2.1k 收藏 1
点赞数
分类专栏: Angular 文章标签: pipe
于 2020-12-26 17:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lyrelion/article/details/111756015
版权

目录

1.问题

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

2.2 回到问题本身进行分析

3.解决

1.问题

[innerHTML] 和 DomSanitizer 的 bypassSecurityTrustHtml() 搭配使用,导致节点无限重复渲染

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 获取安全 Html代码
getSafeHtml(html): SafeHtml {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="getSafeHtml(render(row))">
</div>

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

DomSanitizer:通过清理在不同 DOM上下文 中安全使用的值,来防止跨站点脚本安全漏洞(XSS)

bypassSecurityTrustHtml():是 DomSanitizer 下面的一个方法,通过接受 html代码svg图片,将他们转换为安全的值,防止出现报错

使用 innerHTML 的时候,可能会出现报错:WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).

参考博客:Angular4 绑定html内容 警告处理_xiaotuni的专栏,每天进步一点点 -CSDN博客icon-default.png?t=M1L8https://blog.csdn.net/xiaotuni/article/details/77171240

2.2 回到问题本身进行分析

可能性一:

bypassSecurityTrustHtml() 接收的参数应该是 string

此处的 bypassSecurityTrustHtml() 接受了 render(row),render() 方法返回的是 string

重点来了:render() 这个方法 可能 在 bypassSecurityTrustHtml() 之后执行

就是说 render() 还没有返回数据,bypassSecurityTrustHtml() 直接接收了的 render() 这么个空方法

导致 render() 最终在 bypassSecurityTrustHtml() 内部运行,导致重复渲染

可能性二:

innerHTML 接收到的是 getSafeHtml(render(row)) 函数,而不是一段转换完成的 html代码,导致重复渲染

总结:

[innerHTML]、getSafeHtml()、render() 执行顺序不能确定,导致了重复渲染

3.解决

利用 管道 进行 html 代码安全处理,严格控制各个函数的执行顺序

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 通过定义管道,实现获取安全的 html代码 这个功能
transform(html: string): any {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="render(row) | safeHtml">
</div>

执行顺序:

  • 先由 render(row) 生成 html代码
  • 再进入管道处理
  • 最后交由 [innerHTML] 插入节点

Lyrelion
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
innerHTML动态添加html代码和脚本兼容多个浏览器
09-04
为了解决这个问题,我们可以编写一个跨浏览器的`set_innerHTML`函数,这个函数能够确保插入的HTML代码的脚本在所有支持的浏览器正确执行。下面是对`set_innerHTML`函数的详细解释: ```javascript var set_...
html代码过滤器,angular2项目html代码被安全过滤器筛掉的问题
weixin_34351588的博客
06-10 314
16.12.23 安全过滤器需要渲染的代码如下:3–√对比使用[innerHtml]指令与原生innerHtml:解决方法:使用ng2服务DomSanitizerbypassSecurityTrustHtml方法具体操作:使用pipe过滤器进行封装。import { DomSanitizer } from '@angular/platform-browser';import { Pipe, P...
angular5绑定html,Angular4绑定html内容出现警告的处理方法
weixin_28731223的博客
07-01 156
前言众所周知在Web前端开发,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是。但是最近在Angular4绑定html内容的候出现了警告,通过查找相关资料终于解决了,下面给同样遇到这个问题的朋友们分享下,话不多说了,来一起看看详细的介绍吧...
前端如何安全的渲染HTML字符串?
最新发布
Z__7Gk的博客
08-18 3881
在现代的Web 应用,动态生成和渲染 HTML 字符串是很常见的需求。然而,不正确地渲染HTML字符串可能会导致安全漏洞,例如跨站脚本攻击(XSS)。为了确保应用的安全性,我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践,以帮助你有效地避免潜在的安全风险。
angular2DomSanitizer的5种用法记录
涂涂
01-08 9553
1.Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页
angular7防范跨站脚本(XSS)攻击的信任安全值得使用
yw00yw的博客
07-03 1598
信任安全值 有候,应用程序确实需要包含可执行的代码,比如使用 URL 显示 ,或者构造出有潜在危险的 URL。 为了防止在这种情况下被自动无害化,你可以告诉 Angular:我已经审查了这个值,检查了它是怎么生成的,并确信它总是安全的。 但是千万要小心!如果你信任了一个可能是恶意的值,就会在应用引入一个安全漏洞。如果你有疑问,请找一个安全专家复查下。 注入 DomSanitizer 服务,然后...
关于在innerHTMLJS不执行问题
03-28
3. **利用事件监听**:可以将JavaScript代码包装在一个特定的事件处理函数,例如点击事件,然后通过`innerHTML`添加这个事件触发器。 ```javascript let html = ` <button id="myButton">Click me document....
JavascriptinnerHTML用法实例分析
12-01
在这个例子,当用户点击"innerHTML的使用"按钮,`t()`函数会被执行,原有的`<div id="container">`内的`<ul>`列表将被`哈哈哈哈</p>`替换。这展示了innerHTML属性如何方便地动态修改页面内容。 在实际开发,...
通过 Dom 方法提高 innerHTML 性能
09-06
在网页开发,DOM(Document Object Model)操作是性能优化的关键点之一,特别是涉及到大量数据渲染或页面更新。`innerHTML` 是一个常用的属性,它允许我们获取或设置某个元素的所有子节点的 HTML 内容。然而,在...
JavaScript高级函数应用之分函数实例分析
12-04
函数通常用于解决用户触发的函数执行对系统资源消耗过大的问题。当一个函数涉及到大量的计算或DOM操作,如果一次性完成,可能超出浏览器能够处理的范围,导致用户体验下降。因此,通过分函数,我们可以将...
Angular4 绑定html内容 警告处理
热门推荐
xiaotuni的专栏,每天进步一点点
08-14 1万+
绑定html内容如果用正常的方法去绑定的话,可能会出再这种警告<div [innerHTML]="Catcha" ></div> --------------------------------------- WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).而且页面上也显示不出东西来
Vue render函数渲染html标签(v-html || innerHtml)jsx写法
qq_42894952的博客
11-11 8666
render(h,data) { return h("div", { domProps: { innerHTML: data.row.instanceExeParams // 这里是要渲染的数据 } }) } // 用jsx写法(domPropsInnerHtml) <span domPropsInnerHtml={data.row.instanceExeParams}></span> ...
html方法标签不起作用,AngularinnerHTML标签的样式不起作用的原因解析
weixin_34005394的博客
06-28 1388
1.背景在最近angular的项目,需要用到[innerHTML]标签来指定一个div的样式://HTML部分//TS部分contents = '商品信息栏位商品信息介绍';但是上面的样式并不起作用,在Chorme查看源码,发现style标签的样式在Angular编译的候被屏蔽掉。这是为什么呢?客观别急,请往下看。2.解决方案先说解决方案,最后再分析出现这种问题的原因。修改上面的TS:// ...
JavaScriptinnerHTML和innerText使用及简单的函数定义与调用
weixin_45967030的博客
04-25 2179
1.任何标签都有这俩个属性innerHTML innerText 都表示设置标签的文本内容。 如何动态给span标签或者div块标签等等添加文本内容呢? 要使用dom操作 1)给标签设置id属性 通过一个固定的语法:获取id="属性值"的标签对 var 标签对象 = docuement.getElementBy...
angular4 编译html,Angular4绑定html内容出现警告的处理方法
weixin_33281940的博客
06-25 203
Angular4绑定html内容出现警告的处理方法2019-01-07编程之家https://www.jb51.cc编程之家收集整理的这篇文章主要介绍了Angular4绑定html内容出现警告的处理方法,编程之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。前言众所周知在Web前端开发,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管...
reacrt后端返回html怎么转,angular2 显示后端返回的html 安全转换
weixin_34657323的博客
06-09 124
1、上传文件回显缩略图(change)="sendImg($event)"/>sendImg(event) {let url = window.URL.createObjectURL(event.srcElement.files[0]);}// 获取到一个不安全的临图片链接地址2、在angular2使用,定义管道,过滤import { Pipe,PipeTransform, Securi...
纯前端如何实现搜索关键字功能,且为搜索关键字添加颜色
呆萌小菜鸟的博客
01-24 1617
菜鸟随记
Angular:unsafe value used in a resource URL解决及DomSanitizer导致重复刷新的问题
android_zyf的博客
04-27 487
问题1:unsafe value <embed [src]="file.fileurl"/> 动态给 embed 标签绑定 src 属性,浏览器控制台会提示报错:ProcessSupplementTaskComponent.html:21 ERROR Error: unsafe value used in a resource URL context (see http://g.co/ng/security#xss) 解决1 使用 DomSanitizer import {DomSaniti
Angular4使用DomSanitizer
always_____的博客
05-17 6868
作用 DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文安全使用。 为什么会需要使用DomSanitizer Angular4默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板插入到DOM,Angular4会自帮我们清除和转义不受信任的值。 如下有个例子: ...
ztree实现一级节点后面增加一个按钮靠右显示的实现完整代码
06-09
以下是使用zTree实现一级节点后面增加一个按钮靠右显示的完整代码: HTML代码: ```html <ul id="tree" class="ztree"></ul> ``` CSS样式: ```css .ztree li button { float: right; margin-right: 10px; } ``` JavaScript代码: ```javascript var zNodes = [ { id:1, pId:0, name:"节点1", open:true }, { id:11, pId:1, name:"节点1-1" }, { id:12, pId:1, name:"节点1-2" }, { id:13, pId:1, name:"节点1-3" }, { id:2, pId:0, name:"节点2", open:true }, { id:21, pId:2, name:"节点2-1" }, { id:22, pId:2, name:"节点2-2" }, { id:23, pId:2, name:"节点2-3" }, { id:3, pId:0, name:"节点3", open:true }, { id:31, pId:3, name:"节点3-1" }, { id:32, pId:3, name:"节点3-2" }, { id:33, pId:3, name:"节点3-3" } ]; var setting = { view: { addDiyDom: function(treeId, treeNode) { if (treeNode.level === 1) { var button = document.createElement('button'); button.innerHTML = '操作'; button.onclick = function() { alert('点击了操作按钮'); }; var aObj = $("#" + treeNode.tId + "_a"); aObj.append(button); } } }, data: { simpleData: { enable: true } } }; $(document).ready(function(){ $.fn.zTree.init($("#tree"), setting, zNodes); }); ``` 在上面的代码,我们通过zTree的`addDiyDom`回调函数,在渲染节点,判断当前节点的层级是否为1(即一级节点),如果是,则创建一个按钮元素,并绑定点击事件,最后将按钮元素添加到节点的`<a>`标签。CSS样式,我们将按钮元素的`float`属性设置为`right`,使其靠右显示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyrelion

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值