那些遇到过的问题

在RC.1中,使用绑定语法无法添加某些样式

Gün*_*uer 68 css angular

风格如

<div [style.background-image]="\'url(\' + image + \')\'">Background</div>
<div [style.transform]="rotate(7deg)"
Run Code Online (Sandbox Code Playgroud)

不再添加

Gün*_*uer 110

更新(2.0.0最终版)

import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';

@Pipe({name: 'safeHtml'})
export class SafeHtml implements PipeTransform {
  constructor(private sanitizer:DomSanitizer){}

  transform(html) {
    return this.sanitizer.bypassSecurityTrustStyle(html);
    // return this.sanitizer.bypassSecurityTrustHtml(html);
    // return this.sanitizer.bypassSecurityTrustScript(html);
    // return this.sanitizer.bypassSecurityTrustUrl(html);
    // return this.sanitizer.bypassSecurityTrustResourceUrl(html);
  }
}
Run Code Online (Sandbox Code Playgroud)

另请参见https://angular.io/api/platform-b​​rowser/DomSanitizer

<div [innerHTML]="someHtml | safeHtml"
Run Code Online (Sandbox Code Playgroud)

更新

DomSanitizationServiceDomSanitizer在RC.6中重命名为

原版的

这应该在RC.2中修复

另请参阅Angular2开发人员指南 - 安全性

Angular2引入了CSS值的静态处理[innerHTML]=...[src]="..."RC.1中的属性绑定

另见https://github.com/angular/angular/issues/8491#issuecomment-217467582

可以使用将值标记为受信任 DomSanitizer.bypassSecurityTrustStyle(...) 

import {DomSanitizer} from '@angular/platform-browser';
...
constructor(sanitizer: DomSanitizationService) {
  this.backgroundImageStyle = sanitizer.bypassSecurityTrustStyle('url(' + this.image + ')');
  // for HTML
  // this.backgroundImageStyle = sanitizer.bypassSecurityTrustHtml(...);

}
Run Code Online (Sandbox Code Playgroud)

并绑定到此值而不是不受信任的普通字符串.

这也可以用管子包裹

@Pipe({name: 'safeStyle'})
export class Safe {
  constructor(private sanitizer:Sanitizer){}

  transform(style) {
    return this.sanitizer.bypassSecurityTrustStyle(style);
    // return this.sanitizer.bypassSecurityTrustHtml(style);
    // return this.sanitizer.bypassSecurityTrustScript(value);
    // return this.sanitizer.bypassSecurityTrustUrl(value);
    // return this.sanitizer.bypassSecurityTrustResourceUrl(value);
  }
}
Run Code Online (Sandbox Code Playgroud) 
<div [ngStyle]="someStyle | safeStyle"></div>
Run Code Online (Sandbox Code Playgroud) 

someHtml = `<a href="#" onClick="alert(document.cookie);">click to see the awesome</a>`;
Run Code Online (Sandbox Code Playgroud)

仍在工作: - [(它正在进行中)

Plunker示例(Angular 2.0.0-rc-1)

另见Angular 2安全跟踪问题

https://angular.io/docs/ts/latest/api/platform-b​​rowser/index/DomSanitizer-class.html

提示 {{...}}

无法绑定已清理的内容,prop="{{sanitizedContent}}"因为{{}}stringyfies分配之前的值会中断清理.

  • @SrAxi你是对的.那时它没有那么好用 (2认同)

归档时间:

查看次数:

47832 次

最近记录:

5 年,11 月 前
相关归档
我可以使用CSS对表格列着色而不对单个单元格进行着色 115
*ng对于ng-template输出没有Angular2 37
订阅者电子邮件:GMail将高度转换为最小高度 27
在CSS中,是否可以在换行前选择最后一个元素? 18
如何自定义mat-select下拉位置? 10
如何在 Angular 中使用计算/计算属性? 10
Angular Component Constructor被称为两次 9
**中的错误不是NgModule 9
如何将d3-selection-multi添加到d3? 7
如何在角度4延迟加载中更改chunk.js名称 7
难疑归档
在函数中使用全局变量 2939
如何让Git忽略文件模式(chmod)的变化? 2188
Eclipse Android插件中的"调试证书已过期"错误 1863
如何分析在Linux上运行的C++代码? 1732
Facebook如何禁用浏览器的集成开发人员工具? 1652
禁用Chrome缓存以进行网站开发 1563
如何检查对象是否在JavaScript中具有属性? 1396
如何在JavaScript正则表达式中访问匹配的组? 1277
在Python中使用大写字母和数字生成随机字符串 1247
如何正确强制推送Git? 1206