Angular DomSanitizer - SecurityContext.NONE
Angular DomSanitizer - SecurityContext.NONE
官方 Angular Security Guide 谈到了 4 个安全上下文:HTML, Url, Style and Resource Url.
每个人负责清理相应类型的资源。
此外,DomSanitizer 服务
中有 5 个方法(每种资源类型)
- bypassSecurityTrustHtml
- bypassSecurityTrustScript
- bypassSecurityTrustStyle
- bypassSecurityTrustUrl
- bypassSecurityTrustResourceUrl
但是,我没有在官方文档中找到任何提及 SecurityContext.NONE 的地方。它在代码中是 does exist 。
我假设它聚合了所有资源类型,这意味着被清理的资源可以是 HTML,其中包含样式和脚本。
是这样吗?有官方消息吗?
显然,如果我们将 domSanitizer.sanitize 与 SecurityContext.NONE 一起使用,它不会执行任何清理操作,并且 will return 值将保持原样。
因此,这将允许 HTML 嵌入 URL、样式和脚本。
因此强烈建议不要在您的代码中使用它。
官方 Angular Security Guide 谈到了 4 个安全上下文:HTML, Url, Style and Resource Url.
每个人负责清理相应类型的资源。
此外,DomSanitizer 服务
- bypassSecurityTrustHtml
- bypassSecurityTrustScript
- bypassSecurityTrustStyle
- bypassSecurityTrustUrl
- bypassSecurityTrustResourceUrl
但是,我没有在官方文档中找到任何提及 SecurityContext.NONE 的地方。它在代码中是 does exist 。
我假设它聚合了所有资源类型,这意味着被清理的资源可以是 HTML,其中包含样式和脚本。
是这样吗?有官方消息吗?
显然,如果我们将 domSanitizer.sanitize 与 SecurityContext.NONE 一起使用,它不会执行任何清理操作,并且 will return 值将保持原样。
因此,这将允许 HTML 嵌入 URL、样式和脚本。
因此强烈建议不要在您的代码中使用它。