8

官方 Angular安全指南谈到了 4 个安全上下文:HTML, Url, Style and Resource Url.
每个人都负责清理相应类型的资源。
此外,DomSanitizer服务中有 5 种方法(每种资源类型)

 - bypassSecurityTrustHtml 
 - bypassSecurityTrustScript
 - bypassSecurityTrustStyle 
 - bypassSecurityTrustUrl
 - bypassSecurityTrustResourceUrl

但是,我没有SecurityContext.NONE在官方文档中找到任何提及。它确实存在于代码中。

我假设它聚合了所有资源类型,这意味着被清理的资源可以是 HTML,其中包含样式和脚本。

是这样吗?有官方消息吗?

4

1 回答 1

12

显然,如果我们使用domSanitizer.sanitizewith SecurityContext.NONE,它不会执行任何清理操作并且会按原样返回值。

因此,这将允许带有嵌入 URL、样式和脚本的 HTML。

因此强烈建议不要在您的代码中使用它。

于 2017-06-04T13:43:51.893 回答