Yur*_* K. 6 html-sanitizing angular angular-sanitizer
我从html代码的API字符串获取,其中可能包含来自以下服务的嵌入视频:
如果我确定它足够安全,我可以将它们转换为可信的SafeHtml(绕过Angular的消毒剂):
this.safeHtml = this._sanitizer.bypassSecurityTrustHtml(this.htmlFromApi);
然后将它放在这样的页面上:
<div [innerHtml]="safeHtml"></div>
问题:
我必须执行哪些检查才能确保此字符串足够安全?(它不包含嵌入式脚本,只导致这四个站点中的一个没有任何棘手的重定向)?
以某种方式将这些网站添加到Angular的消毒剂的例外中是否有意义?如果是的话怎么做?
提前致谢!
ps我看到了类似的问题:如何检查HTML字符串是否安全? 但我希望Angular最佳实践有一些更新鲜和相关的东西
| 归档时间: |
|
| 查看次数: |
278 次 |
| 最近记录: |