Angular中使用 innerHTML 指令时自动移除style属性的原因及解决办法

最新推荐文章于 2024-04-29 17:01:02 发布
最新推荐文章于 2024-04-29 17:01:02 发布
阅读量552 收藏
点赞数 1
分类专栏: # Angular框架 文章标签: angular.js javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrysmile0308/article/details/127846957
版权

假如后台返回的字符串中有 html标签 时,我们希望可以直接将该标签渲染出来,而 Angular 中提供了 [innerHTML] 内置指令来将字符串转为 HTML 代码

原因

但是基于 Angular官网 这里提到了:SecurityContext 标记了具有危险安全隐患的位置,比如,像 innerHTML 这样的 DOM 属性,如果处理不当,可能会导致跨站点脚本(XSS)安全错误。

因此如果在使用 [innerHTML] 指令时内部会自动将标签上的 style 属性去除掉,如下图:在这里插入图片描述
检查元素也可以看到没有 style 属性
在这里插入图片描述

解决办法

stackoverflow 这里提到了可以通过管道来将不安全的字符串转为安全的 html 代码,具体如下:

新建一个 Safe.pipe.ts 文件:

import { Pipe } from "@angular/core";
import { DomSanitizer, SafeHtml } from "@angular/platform-browser";

@Pipe({ name: 'safeHtml' })
export class Safe {
    constructor(private sanitizer: DomSanitizer) { }
	// 转为安全的html
    public transform(html: string): SafeHtml {
        return this.sanitizer.bypassSecurityTrustHtml(html);
    }
}

在你需要使用该管道的组件 Module 中声明该管道:

import { NgModule } from '@angular/core';
import { BrowserModule } from '@angular/platform-browser';
import { HttpClientModule } from '@angular/common/http';
import { FormsModule } from '@angular/forms';
import { TranslateModule } from '@ngx-translate/core';
import { Safe } from '../common/function/safe.pipe';
/**
 * 测试模块
 */
@NgModule({
    imports: [
        BrowserModule,
        HttpClientModule,
        FormsModule,
        TranslateModule
    ],
    declarations: [
        Safe
    ],
    providers: [],
    exports: []
})
export class TestModule {
}

最后在组件中使用该管道即可:

<div [innerHTML]="sentence.content | safeHtml"></div>

这样就可以成功渲染样式了:
在这里插入图片描述

Wrysmile0308
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Angular的ng-template及angular 使用ngTemplateOutlet 指令的方法
12-29
ng-template 是用来定义模板的,当使用ng-template定义好一个模板之后,可以用ng-container和templateOutlet指令来进行使用。 <ng> <button (click)=login()>login</button> <button (click)=sigup()>sigup</button> </ng> <ng ngTemplateOutlet=loading> </ng> ng-template在编写高定制性的组件非常有用。可以把需要定制
AngularinnerHTML标签的样式不起作用的原因解析
10-16
主要介绍了AngularinnerHTML标签的样式不起作用详解 ,本文给出了解决方案,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
如何在 Angular 使用 innerHTML 属性绑定
rubys007的博客
02-19 515
Angular 2+ 支持使用属性绑定来渲染 HTML。如果你使用插值,它会被视为字符串。本文将介绍如何使用以及一些注意事项。
angular绑定的innerHtml内部样式不起作用的问题
weixin_30608503的博客
01-09 359
问题:使用innerHtml绑定的内容在页面上不显示相应的样式 如: listItem = "测试<span style='color:red'>红色</span>字体"; <div [innerHtml]="listItem"></div> 在浏览器查看,div的内容是"测试<span>红色</span>字体"...
行内styleAngular10 TypeScriptinnerHtml不起作用
青颜的天空的博客
06-03 614
项目用到了富文本编辑器, 编辑器把样式都返回在了P标签的style,例如 <p style="font-size: 20px;color: #00acc1;line-height: 18px;"> <span style="font-size: 18px;color: #64c159;font-weight: bold"></span> </p> 不幸的是,当我把这段内容赋值给一个div的innerHtml,结果什么样还是什么样,还有的样式
angular2/4 使用[innerHTML]样式不生效
m0_45406092的博客
06-06 1360
首先默认情况下,innerHTML会被认为是不安全的,因此屏蔽掉了样式。 不生效场景 我们通过innerHTML引入一段html格式的文本,文本style样式,目标是希望字体是红色的,而实际效果却仍然是默认的黑色。 TS文件 import { Component, OnInit } from '@angular/core'; @Component({ selector: 'app-inner-html', templateUrl: './inner-html.component.html',
angular 使用[innerHTML]在页面显示html文本
热门推荐
xinbear的博客
04-08 2万+
在ts文件模拟一个html文本:import { Component, OnInit } from '@angular/core'; @Component({   selector: 'app-inner-html',   templateUrl: './inner-html.component.html',   styleUrls: ['./inner-html.component.css'] ...
Angular用[innerHTML]显示html文本,保留富文本在html的行内style样式(SafeHtmlPipe)
青颜的天空的博客
06-17 3298
项目经常需要用到富文本组件,我使用的一个轻量级的富文本组件是Trumbowyg,压缩后文件很小。编辑文本后,显示也是一个问题。 一段文字在轻量级文本编辑器展示如下: 在ts模拟此富文本: import {Component, OnInit} from '@angular/core' @Component({ selector: 'app-inner-html', templateUrl: './inner-html.component.html', styleUrls: ['./in.
angular innerHtml内容增加样式
消失的终点线的专栏
05-30 5865
问题:使用innerHtml属性赋值一段html片段,片段的样式css会被忽略。解决:可使用DomSanitizer将其转化一下。这里定义了一个pipe,具体如下:import { Pipe, PipeTransform } from "@angular/core"; import { DomSanitizer } from '@angular/platform-browser'; // h...
angular移除事件绑定事件绑定_如何安全清除指令AngularJS事件绑定
weixin_39669075的博客
12-21 198
我有一个Angular指令,该指令将元素的高度设置为等于浏览器窗口的内部高度(+/-给定的偏移量)。该指令响应窗口的“调整大小”事件,并相应地调整其高度。当指令的作用域发出’$destory’事件,我将删除对“ resize”事件的绑定(我认为将其留在原地会引起一些问题,如果我错了,请纠正我)。我不知道如何以“安全”的方式执行此事件分离。如果我在整个应用程序都有该指令的多个实例,又如果我有其他...
AngularJS使用属性值的ng-app指令实现自定义模块自动加载的方法
11-29
本文实例讲述了AngularJS使用属性值的ng-app指令实现自定义模块自动加载的方法。分享给大家供大家参考,具体如下: 接着前面那篇《AngularJS使用ng-app自动加载bootstrap框架问题分析》,现在我们看下如何使用带...
Angular的内置指令和自定义指令
02-01
NG指令,到底是什么(what)?为什么会有(why)?以及怎样使用(how)?What:在NG指令扩展HTML功能,为DOM元素调用方法、定义行为绑定数据等。Why:最大程度减少DOM操作,实现数据绑定,与业务逻辑进行交互。How...
Angular.js指令学习一些重要属性的用法教程
10-19
主要给大家介绍了关于Angular.js指令学习一些重要属性的用法教程,文介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
安装 AngularJS
GeGe&YoYo的博客
04-26 361
当你运行 npm i -g @angular/cli ,你就是在全局范围内安装Angular CLI,这样你就可以在任何目录下使用它来创建和管理Angular应用程序。npm可能安装失败建议先用npm安装一下cnpm用淘宝镜像安装。下载完之后,建议关掉当前控制台,重新打开一下再使用。查看cnpm是否安装成功。
【解决NodeJS项目无法在IDEA调试的问题】使用JetBrains IDEA 2023 调试nodejs项目
宅斗士的博客
04-23 394
项目采用Ant Design Pro + React,使用前后端分离开发方式,后端可以很容易的打断点调试,但是前端用到了React脚手架,在IDEA加了调试断点,但是没有什么用处。
vue2---修饰符
weixin_45503872的博客
04-24 1057
有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此如果按住ctrl和其他键,然后再点击鼠标,此也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
Redux 状态持久化之 redux-persist 使用示例
笔记、经验、日常分享
04-24 352
同vuex一样,redux的状态会在刷新浏览器后状态又恢复到初始状态,有些数据想在浏览器刷新后仍然是在最新的状态,不会丢失,就需要借助一些插件实现。本文通过 redux-persist 插件来实现Redux状态的持久化。
用Typescript写自动化工作流
最新发布
联蔚盘云的博客
04-29 680
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新,后续也会支持更多的预设,web ui 的操作方式也在计划小伙伴想参与预设的开发也欢迎 pr 呀。
Angular使用 innerHTML 指令自动移除style属性解决办法
05-27
Angular使用innerHTML指令,确实会自动移除style属性,这是因为Angular认为这样可以避免可能的XSS攻击。如果你需要在Angular使用innerHTML指令并保留style属性,可以使用以下两种方法的任何一种: 1. 使用DomSanitizer 可以使用Angular提供的DomSanitizer服务来手动信任HTML字符串。首先,在组件的构造函数注入DomSanitizer服务,然后在template使用管道来信任HTML字符串,例如: ``` import { Component } from '@angular/core'; import { DomSanitizer } from '@angular/platform-browser'; @Component({ selector: 'app-root', template: ` <div [innerHTML]="trustedHtml"></div> ` }) export class AppComponent { trustedHtml: any; constructor(private sanitizer: DomSanitizer) { const html = '<div style="color: red;">Hello, World!</div>'; this.trustedHtml = this.sanitizer.bypassSecurityTrustHtml(html); } } ``` 在这个例子,我们首先注入了DomSanitizer服务,然后在构造函数使用该服务的bypassSecurityTrustHtml方法来信任HTML字符串。最后,在template使用innerHTML指令和trustedHtml变量来渲染HTML。 2. 使用HostBinding 可以使用@HostBinding装饰器来绑定元素的innerHTML属性,并在组件手动设置该属性,例如: ``` import { Component, HostBinding } from '@angular/core'; @Component({ selector: 'app-root', template: ` <div [innerHTML]="html"></div> ` }) export class AppComponent { @HostBinding('innerHTML') html: any; constructor() { const html = '<div style="color: red;">Hello, World!</div>'; this.html = html; } } ``` 在这个例子,我们使用@HostBinding装饰器来绑定元素的innerHTML属性,并在构造函数手动设置该属性。这样,Angular就不会自动移除style属性了。 需要注意的是,使用innerHTML指令需要非常谨慎,因为它可能会导致XSS攻击。因此,除非你确实需要使用innerHTML指令,否则最好避免使用它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值