angular2中DomSanitizer的5种用法记录

最新推荐文章于 2024-04-09 23:53:55 发布
最新推荐文章于 2024-04-09 23:53:55 发布
阅读量9.8k 收藏 2
点赞数
分类专栏: angular
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34645412/article/details/79002099
版权

1.Cross-site scripting (跨站脚本)

跨站脚本Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveXFlash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话cookie等各种内容。 — 维基百科

————摘自sf

2.安全风险防范

调用任何bypassSecurityTrust ... API都会禁用Angular对传入值的内置清理,也就是说只要调用了此API就会怼传入的函代码快的值进行严格的检查。包括路径,html标签,js代码等确定安全后方可以插入。而且插入方式不可以是插值法直接插入,必须是属性绑定的形式插入。

DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文中安全使用。


例如,当在一个<a href="someValue">超链接中绑定一个URL时,someValue将被清理,以便攻击者不能注入例如一个可以在网站上执行代码的javascript:URL。


在特定情况下,可能需要禁用清理,例如,如果应用程序真的需要生成一个带有动态值的javascript:style链接。用户可以绕过安全性,方法是使用bypassSecurityTrust ...方法之一构造一个值,然后绑定到模板中的值。


这些情况应该非常罕见,必须非常小心,避免造成跨站点脚本(XSS)安全漏洞!


当使用bypassSecurityTrust ...时,确保尽可能早地调用方法并尽可能接近值的来源,以便于验证它的使用是否会产生安全错误。


如果值是安全的,则不要求(并且不推荐)绕过安全性。不以可疑协议开头的URL或不包含危险代码的HTML代码段。卫生洗涤剂保持完整的安全值。

——翻译自angular官网

通俗来讲:就是Angular 2 中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular 2 会自帮我们清除和转义不受信任的值。我们来看一下具体示例:

ts

import { Component } from '@angular/core';
import { IonicPage, NavController, NavParams } from 'ionic-angular';
import {DomSanitizer} from "@angular/platform-browser";

@IonicPage()
@Component({
  selector: 'page-test',
  templateUrl: 'test.html',
})
export class TestPage {
public htmling="<div>很高<p>使得</p><a >蓝色</a><script>goban()</script></div>";
  constructor(public navCtrl: NavController, public navParams: NavParams,public dz:DomSanitizer ) {
  }

  ionViewDidLoad() {

  }
  assembleHTML(strHTML:any) {
    return this.dz.bypassSecurityTrustHtml(strHTML);
  }

}
html: 

<ion-header>

  <ion-navbar>
    <ion-title>test</ion-title>
  </ion-navbar>

</ion-header>


<ion-content padding>
    <!--html 属性绑定方法-->
 <div  [innerHTML]="assembleHTML(htmling)"></div>

</ion-content>

结果:


结果angular拦截后当成了字符串输出,并没有执行该方法

3.用法:

3.1 bypassSecurityTrustHtml(value: string): SafeHtml

ts

import { Component } from '@angular/core';
import { IonicPage, NavController, NavParams } from 'ionic-angular';
import {DomSanitizer} from "@angular/platform-browser";

@IonicPage()
@Component({
  selector: 'page-test',
  templateUrl: 'test.html',
})
export class TestPage {
public htmling="<div>很高<p>使得</p><a >蓝色</a></div>";
  constructor(public navCtrl: NavController, public navParams: NavParams,public dz:DomSanitizer ) {
  }

  ionViewDidLoad() {
    console.log('ionViewDidLoad TestPage');
    // html
    this.aa=this.dz.bypassSecurityTrustHtml(this.htmling);=
  }
  assembleHTML(strHTML:any) {
    return this.dz.bypassSecurityTrustHtml(strHTML);
  }
}
html: 

<ion-header>

    <ion-navbar>
        <ion-title>test</ion-title>
    </ion-navbar>

</ion-header>


<ion-content padding>
    <!--html 属性绑定方法-->
    <div [innerHTML]="assembleHTML(htmling)"></div>
    <!--html错误写法-->
    <div>{{aa}}</div>
    <!--html 属性绑定属性值-->
    <div [innerHTML]="aa"></div>

</ion-content>

效果:

可以看见错误的绑定方式会使代码片段当做html显示

3.2  bypassSecurityTrustStyle

ts

import { Component } from '@angular/core';
import { IonicPage, NavController, NavParams } from 'ionic-angular';
import {DomSanitizer} from "@angular/platform-browser";

@IonicPage()
@Component({
  selector: 'page-test',
  templateUrl: 'test.html',
})
export class TestPage {
public htmling="height: 100px;background-color: red";
  constructor(public navCtrl: NavController, public navParams: NavParams,public dz:DomSanitizer ) {
  }

  ionViewDidLoad() {
    console.log('ionViewDidLoad TestPage');
    // html
    this.aa=this.dz.bypassSecurityTrustStyle(this.htmling)
  }
}
html: 

<ion-header>

    <ion-navbar>
        <ion-title>test</ion-title>
    </ion-navbar>

</ion-header>


<ion-content padding>
<div [style]="aa"></div>
</ion-content>

效果:



3.3 bypassSecurityTrustUrl

ts

import { Component } from '@angular/core';
import { IonicPage, NavController, NavParams } from 'ionic-angular';
import {DomSanitizer} from "@angular/platform-browser";

@IonicPage()
@Component({
  selector: 'page-test',
  templateUrl: 'test.html',
})
export class TestPage {
public htmling="./assets/icon/1000.png";

  constructor(public navCtrl: NavController, public navParams: NavParams,public dz:DomSanitizer ) {
  }

  ionViewDidLoad() {
    console.log('ionViewDidLoad TestPage');
    // html
    this.aa=this.dz.bypassSecurityTrustUrl(this.htmling)
  }
}
html: 

<ion-header>

    <ion-navbar>
        <ion-title>test</ion-title>
    </ion-navbar>

</ion-header>


<ion-content padding>
<div > <img [src]="aa"></div>
</ion-content>
效果:

3.4 bypassSecurityTrustResourceUrl

ts

import { Component } from '@angular/core';
import { IonicPage, NavController, NavParams } from 'ionic-angular';
import {DomSanitizer} from "@angular/platform-browser";

@IonicPage()
@Component({
  selector: 'page-test',
  templateUrl: 'test.html',
})
export class TestPage {
public htmling="https://segmentfault.com/";
public aa:object;

  constructor(public navCtrl: NavController, public navParams: NavParams,public dz:DomSanitizer ) {
  }

  ionViewDidLoad() {
    console.log('ionViewDidLoad TestPage');
    // html
    this.aa=this.dz.bypassSecurityTrustResourceUrl(this.htmling)
  }

}
html: 

<ion-header>

    <ion-navbar>
        <ion-title>test</ion-title>
    </ion-navbar>

</ion-header>

<ion-content padding>
<iframe [src]="aa"></iframe>
</ion-content>
效果:






angular10 html转pdf预览 DomSanitizer安全策略
朝花夕拾的博客
06-29 405
<iframe [src]="previewNoticePdfUrl" frameborder="0" style="width: 100%; height: 400px"></iframe> 核心代码 this.sanitizer.bypassSecurityTrustResourceUrl(url); import { Component, Input, OnInit } from '@angular/core'; import { DomSanitizer }..
angular与springboot实现文件的上传以及照片回显
Genjicoo的博客
08-09 2151
angular与springboot实现文件的上传以及照片回显 近期进入公司,开始接触angular,并要求使用angular+springboot做一个小例子,其中涉及到了照片上传这方面的知识,做出来以后记录一下踩过的坑,希望之后再做这类功能的时候不要再犯。 文件上传 从前端开始说起,我先把代码贴上,这是文件上传组件的html界面,angular的构造我就不写了,自己看一下官方文档应该就都能明白...
Angular 使用DomSanitizer防范跨站脚本攻击
最新发布
Dominic_W的博客
04-09 858
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但是实际上也可以是Java、VBScript、ACtiveX、Flash甚至是一些普通的HTML。简称XSS,是代码注入的一种,是一种网站应用程序的安全漏洞攻击。它允许恶意用户将代码注入到网页上,其他用户在使用网页时就会收到影响,这类攻击通常包含了HTML和用户端脚本语言(JS)。
Angular——DomSanitizer服务
qq_44327851的博客
12-13 996
常见的使用场景包括将不受信任的HTML内容转换为安全的HTML以进行显示,或者对URL进行安全地转换以在应用中使用。:当需要在应用中使用动态生成的URL时,例如通过`[src]`属性加载图片、视频等资源,可以使用`DomSanitizer`服务对URL进行安全地处理,以确保URL不包含恶意代码或攻击。:当需要在应用中动态生成HTML内容并将其显示在页面上时,可以使用`DomSanitizer`服务来确保生成的HTML内容是安全的,以避免XSS攻击。服务可以用于处理其他安全性相关的场景。
Angular4中使用DomSanitizer
always_____的博客
05-17 7044
作用 DomSanitizer有助于防止跨站点脚本安全漏洞(XSS),通过清除值以便在不同的DOM上下文中安全使用。 为什么会需要使用DomSanitizer Angular4中默认将所有输入值视为不受信任。当我们通过 property,attribute,样式,类绑定或插值等方式,将一个值从模板中插入到DOM中时,Angular4会自帮我们清除和转义不受信任的值。 如下有个例子: ...
Angular与ionic的幸福生活之 “网址小技巧(DomSanitizer 解决渲染浮动框架网站不安全问题)”
qq_44963669的博客
12-04 244
Angular与ionic的幸福生活之 “网址小技巧(DomSanitizer)” 小编这几天的更新也是非常勤奋的,其遇见的问题都是真实开发中常见的问题,进行记录解析: 其中,就在今天小编遇到了这样的一个问题,自身网页嵌入了其它网页中带有浮动框架的部分,当我们用这个框架进行数据渲染的时候浏览器后台总会报错 说这不是一个安全的网页,这个时候我们应该如何解决呢?请顺着小编的笔记往下看 在ts 文件中: 1.自身路径和本网页或者其他玩网页的url 部分进行拼接 //前半部分为url 的基础路径,后半部分为,通过
【双向绑定在表单验证中的应用】:提升用户验证体验的5种方法
本文探讨了双向绑定技术在表单验证中的应用及其对用户体验、性能优化和安全性的改进。首先介绍了双向绑定的基础概念和与前端框架的结合实践。接着,分析了双向绑定如何通过实时反馈机制和深度数据校验提升用户交互...
【前端安全】揭秘:如何在JavaScript中安全地操作data属性
[【前端安全】揭秘:如何在JavaScript中安全地操作data属性](https://shefali.dev/wp-content/uploads/2023/11/JavaScript-1.png) # 摘要 前端安全是一个日益受到关注的话题,特别是随着现代Web应用程序的复杂性...
前端安全实践:确保特效代码不成为攻击目标,安全策略大全
![前端安全实践:确保特效代码不成为攻击目标,安全策略大全]...文章进一步探讨了前端安全策略的实现方法,包括安全的HTML编写、CSS使用以及JavaScript安全编码实践。此外,本文还对前端安全工具与框架的
视图组件安全指南:【7】个步骤避免XSS攻击
在现代Web应用中,视图组件作为用户界面的直接表现形式,扮演着至关重要的角色。视图组件不仅负责向用户展示信息,还直接参与数据的交互和处理。因此,其安全性成为确保Web应用整体安全的基石之一。 随着互联网应用...
innerHTML + bypassSecurityTrustHtml 导致节点重复渲染(innerHTML 中有多个函数时的执行顺序问题)
Lyrelion的博客
12-26 2465
innerHTML + bypassSecurityTrustHtml 导致节点重复渲染(innerHTML 中有多个函数时的执行顺序问题)
html代码过滤器,angular2项目中html代码被安全过滤器筛掉的问题
weixin_34351588的博客
06-10 378
16.12.23 安全过滤器需要渲染的代码如下:3–√对比使用[innerHtml]指令与原生innerHtml:解决方法:使用ng2服务DomSanitizer中的bypassSecurityTrustHtml方法具体操作:使用pipe过滤器进行封装。import { DomSanitizer } from '@angular/platform-browser';import { Pipe, P...
angular innerHtml内容增加样式
消失的终点线的专栏
05-30 5970
问题:使用innerHtml属性赋值一段html片段时,片段中的样式css会被忽略。解决:可使用DomSanitizer将其转化一下。这里定义了一个pipe,具体如下:import { Pipe, PipeTransform } from "@angular/core"; import { DomSanitizer } from '@angular/platform-browser'; // h...
Angular 图片上传并显示在src
weixin_45553145的博客
07-09 352
生成afeUrl类型图片
html 绑定数据代码,角度HTML绑定
weixin_33213367的博客
06-07 202
匿名用户Angular 2.0.0和Angular 4.0.0 final对于安全内容DOMSANITIZER需要使用Angulars DOM sanitizer将潜在的不安全HTML显式标记为受信任,这样就不会剥离内容中潜在的不安全部分用一根像这样的管子@Pipe({name: 'safeHtml'})export class Safe {constructor(private sanitize...
angular4 编译html,Angular4绑定html内容出现警告的处理方法
weixin_33281940的博客
06-25 267
Angular4绑定html内容出现警告的处理方法2019-01-07编程之家https://www.jb51.cc编程之家收集整理的这篇文章主要介绍了Angular4绑定html内容出现警告的处理方法,编程之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管...
angular依赖注入_Angular依赖注入简介
cumi7754的博客
08-03 788
angular依赖注入by Neeraj Dana 由Neeraj Dana In this article, we will see how the dependency injection of Angular works internally. Suppose we have a component named appcomponent which has a basic and simp...
angular4实现嵌入网页-iframe,并实现安全url(safe管道)-angularDomSanitizer
小武的博客
05-04 7709
1. html中利用iframe嵌入网页orbitUrl,“|safe”运用angular4管道的知识&lt;iframe id='orbitIframe' [src]="orbitUrl|safe" width="100%" height="100%" frameborder="0" align="center"&gt;&lt;/iframe&gt;2. ts中把impor
【荐】Angular如何防御XSS攻击
野草园
08-18 5973
XSS攻击是比较常见的网站攻击方式,Angular框架也考虑到了这点,专门做了一些处理。本文就Angular如何防御XSS攻击做了简单介绍。
ionic3 DomSanitizer加载html文件[2018-02-01]
Z_pigeon的博客
02-01 2022
1】:创建加载html管道使用     (1):ionic g pipe trustHtml,创建好管道,会自动在src文件夹下生成pipes文件夹,并且创建trust-html模块     (2):编辑trust-html.ts         import { DomSanitizer } from '@angular/platform-browser'; import { Pipe,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

傻小胖

如果觉得不错就给点赏钱吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值