Angular4中使用DomSanitizer

最新推荐文章于 2024-04-09 23:53:55 发布
最新推荐文章于 2024-04-09 23:53:55 发布
阅读量6.8k 收藏 5
点赞数 3
分类专栏: Angular4 文章标签: Angular4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/always_____/article/details/80350968
版权

作用

DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文中安全使用。

为什么会需要使用DomSanitizer

Angular4中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular4会自帮我们清除和转义不受信任的值。
如下有个例子:
domsan-test.component.ts

import { Component } from '@angular/core';

@Component({
  selector: 'app-domsan-test',
  templateUrl: './domsan-test.component.html'
})
export class DomsanTestComponent {

  html='<h1>哈哈哈哈哈哈<h1><script>attackerCode()</script>';
}

domsan-test.component.html

<div>{{html}}</div>

结果:Angular4 在编译的时候,会自动清理 HTML 输入并转义不安全的代码,因此在这种情况下,这个html代码片段被当成了字符串,只能在屏幕上显示为文本。
插入一个html代码片段
这时候如果需要将html代码片段渲染出来,就需要用到DomSanitizer了。

方法

abstract class DomSanitizer implements Sanitizer {abstract sanitize(context: SecurityContext, value: SafeValue | string | null): string | null
abstract bypassSecurityTrustHtml(value: string): SafeHtml
abstract bypassSecurityTrustStyle(value: string): SafeStyle
abstract bypassSecurityTrustScript(value: string): SafeScript
abstract bypassSecurityTrustUrl(value: string): SafeUrl
abstract bypassSecurityTrustResourceUrl(value: string): SafeResourceUrl

下面将使用例子来了解如何使用这几个方法。

1. bypassSecurityTrustHtml

domsan-test.component.ts

import { Component, OnInit} from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Component({
  selector: 'app-domsan-test',
  templateUrl: './domsan-test.component.html'
})
export class DomsanTestComponent implements OnInit {

  html='<h1>哈哈哈哈哈哈<h1><script>attackerCode()</script>';
  shtml: SafeHtml;

  constructor(private sanitizer: DomSanitizer) { }

  ngOnInit() {
    this.shtml =this.sanitizer.bypassSecurityTrustHtml(this.html);
  }
}

domsan-test.component.html

<div [innerHTML]="shtml"></div>

结果:
test2
注:插入方式不可以是插值法直接插入,必须是属性绑定的形式插入。
如果以下面的方式插入,是错误的方式。

<div>{{shtml}}</div>

结果:
这里写图片描述

bypassSecurityTrustStyle,bypassSecurityTrustScript,bypassSecurityTrustUrl,bypassSecurityTrustResourceUrl的使用方式与bypassSecurityTrustHtml类似。
属性绑定的形式分别是:

<!-- bypassSecurityTrustStyle -->
<div [style]="sstyle"></div>  
<!-- bypassSecurityTrustUrl -->
<div > <img [src]="aa"></div>  
<!-- bypassSecurityTrustResourceUrl -->
<iframe [src]="surl"></iframe>

2. sanitize

有时后我们需要手动过滤输入值,这时可以使用 sanitize 方法

this.html = this.sanitizer.sanitize(SecurityContext.HTML,this.html);
console.log(this.html);

控制台输出:

WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).
domsan-test.component.ts:24 <h1>&#21704;&#21704;&#21704;&#21704;&#21704;&#21704;</h1><h1>attackerCode()</h1>

3.自定义指令

为了更方面的在项目中使用,可自定义一个pipe。
keepHtml.pipe.ts

import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';

@Pipe({ name: 'keepHtml', pure: false })
export class EscapeHtmlPipe implements PipeTransform {
  constructor(private sanitizer: DomSanitizer) {
  }

  transform(content) {
    return this.sanitizer.bypassSecurityTrustHtml(content);
  }
}

html

<div [innerHTML]="html | keepHtml"></div>

使用pipe要在所在的module.ts中声明这个指令并导入

import {EscapeHtmlPipe} from './domsan-test/keepHtml.pipe';
@NgModule({
  declarations: [
    EscapeHtmlPipe
  ],
  imports: [
  ]
})
export class DemoModule { }

当使用bypassSecurityTrust …时,确保尽可能早地调用方法并尽可能接近值的来源,以便于验证它的使用是否会产生安全错误。
等有空再详细补充吧。。
参考链接:
https://angular.cn/api/platform-browser/DomSanitizer
https://blog.csdn.net/qq_34645412/article/details/79002099
https://segmentfault.com/a/1190000008809095

always_____
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angular10 html转pdf预览 DomSanitizer安全策略
朝花夕拾的博客
06-29 333
<iframe [src]="previewNoticePdfUrl" frameborder="0" style="width: 100%; height: 400px"></iframe> 核心代码 this.sanitizer.bypassSecurityTrustResourceUrl(url); import { Component, Input, OnInit } from '@angular/core'; import { DomSanitizer }..
Angular 4如何显示内容的CSS样式示例代码
08-28
总结起来,要在Angular 4显示带有CSS样式的动态内容,我们需要创建一个自定义管道,利用`DomSanitizer`服务将内容标记为安全的HTML,然后在模板通过`[innerHTML]`属性结合管道来绑定内容。这种方法既确保了安全...
Angular——DomSanitizer服务
qq_44327851的博客
12-13 803
常见的使用场景包括将不受信任的HTML内容转换为安全的HTML以进行显示,或者对URL进行安全地转换以在应用使用。:当需要在应用使用动态生成的URL时,例如通过`[src]`属性加载图片、视频等资源,可以使用`DomSanitizer`服务对URL进行安全地处理,以确保URL不包含恶意代码或攻击。:当需要在应用动态生成HTML内容并将其显示在页面上时,可以使用`DomSanitizer`服务来确保生成的HTML内容是安全的,以避免XSS攻击。服务可以用于处理其他安全性相关的场景。
Angular 2 DomSanitizer
weixin_34166847的博客
03-23 207
Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的...
Angular 使用DomSanitizer防范跨站脚本攻击
Dominic_W的博客
04-09 640
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但是实际上也可以是Java、VBScript、ACtiveX、Flash甚至是一些普通的HTML。简称XSS,是代码注入的一种,是一种网站应用程序的安全漏洞攻击。它允许恶意用户将代码注入到网页上,其他用户在使用网页时就会收到影响,这类攻击通常包含了HTML和用户端脚本语言(JS)。
DomSanitizer 安全URL脚本访问,Angular 和 TypeScript
Neokekeke的博客
12-07 1725
Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用
angular2DomSanitizer的5种用法记录
涂涂
01-08 9534
1.Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页
Angular4实现图片上传预览路径不安全的问题解决
08-28
Angular4,图片上传预览功能的实现可能会遇到一个安全性问题,即“sanitizing unsafe URL value”的警告。这是因为Angular的内置安全机制会阻止直接使用可能不安全的URL,如本地文件路径,来设置`<img>`标签的`...
angular如何绑定iframesrc的方法
10-17
Angular框架,有时我们需要动态地为`iframe`元素设置`src`属性,以便根据用户交互或应用程序逻辑来更改加载的网页内容。本篇文章将详细解释如何在Angular实现这一功能。 首先,让我们理解问题的核心:当我们...
Angular4绑定html内容出现警告的处理方法
08-28
总结来说,解决Angular4绑定HTML内容出现警告的方法是利用`DomSanitizer`服务的`bypassSecurityTrustHtml`方法来转换HTML字符串。这不仅能消除控制台的警告,还能确保内容在视图正确呈现,同时保持应用的安全性...
domsanitizer:用于生成有效 HTML 内容的可解析树转换器的模板
05-29
消毒剂 用于生成有效 HTML 内容的可解析树转换器的模板。 该项目的目标是在这些(或更多)项目提供统一的变压器 ,基于domtagger ,也基于domtagger 该项目负责最终的错误转换,以便更新一次,将修复所有依赖项。
前端开源库-domsanitizer
08-30
前端开源库-domsanitizerdomSanitizer,用于生成有效HTML内容的可解析树转换器的模板。
详解angular如何调用HTML字符串的方法
08-27
Angular,我们通常使用双大括号`{{ }}`来绑定数据到视图,例如显示产品详情`{{post.content}}`。这种方式适用于普通的文本数据,但当`post.content`包含HTML标签时,Angular会将其当作纯文本处理,导致HTML标签...
Angular与ionic的幸福生活之 “网址小技巧(DomSanitizer 解决渲染浮动框架网站不安全问题)”
qq_44963669的博客
12-04 178
Angular与ionic的幸福生活之 “网址小技巧(DomSanitizer)” 小编这几天的更新也是非常勤奋的,其遇见的问题都是真实开发常见的问题,进行记录解析: 其,就在今天小编遇到了这样的一个问题,自身网页嵌入了其它网页带有浮动框架的部分,当我们用这个框架进行数据渲染的时候浏览器后台总会报错 说这不是一个安全的网页,这个时候我们应该如何解决呢?请顺着小编的笔记往下看 在ts 文件: 1.自身路径和本网页或者其他玩网页的url 部分进行拼接 //前半部分为url 的基础路径,后半部分为,通过
angular使用[innerHTML]时样式不生效
qq_15509267的博客
07-08 2955
一、问题描述 使用[innerHTML]向angular的模板添加模板时,被添加模板的css样式不生效。 二、详细介绍 【1】需要根据数据模型动态创建表格的表头(部分代码如下): //模板 .../ <td [innerHTML]="col.render?col.render(item[col.key],col.key,i,item):item[col.key]">&l...
angular innerHtml内容增加样式
消失的终点线的专栏
05-30 5881
问题:使用innerHtml属性赋值一段html片段时,片段的样式css会被忽略。解决:可使用DomSanitizer将其转化一下。这里定义了一个pipe,具体如下:import { Pipe, PipeTransform } from "@angular/core"; import { DomSanitizer } from '@angular/platform-browser'; // h...
讲课内容
weixin_34272308的博客
05-13 98
一、 上传本地图片显示发生了unsage iframe 的 src 属性是资源 URL 安全上下文,因为不可信源可以在用户不知情的情况下执行某些不安全的操作。 DomSanitizer 安全URL脚本访问 XSS :是网站 Angular 2 如何保护我们免受 XSS 攻击 Angular 2 默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等...
OGSM绩效管理培训材料双份资料.pptx
最新发布
07-12
OGSM绩效管理培训材料双份资料.pptx
angular 12 使用Base64加密
04-27
Angular 12 使用 Base64 加密可以通过内置的 btoa() 函数来实现。btoa() 函数可以将字符串转换为 Base64 编码。 以下是一个简单的示例,将字符串加密为 Base64 编码: ```typescript let plainText = 'hello ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值