Angular 2
Ominięcie Odkażanie dla zaufanych wartości
Szukaj…
Parametry
| Params | Detale |
|---|---|
| selektor | nazwa znacznika, do którego odwołujesz się do swojego komponentu w html |
| szablon (templateUrl) | ciąg reprezentujący HTML, który zostanie wstawiony w dowolnym miejscu <selector> . templateUrl to ścieżka do pliku HTML o takim samym zachowaniu |
| Rury | tablica potoków używanych przez ten komponent. |
Uwagi
SUPER WAŻNE!
WYŁĄCZENIE SANITIZACJI OPUSZCZA SIĘ NA RYZYKO XSS (Cross-Site Scripting) I INNYCH WEKTORÓW ATAKU. UPEWNIJ SIĘ, ŻE ZAUFAJ W 100%
Korzystanie z potoków powoduje tylko zmianę wartości atrybutów w następujący sposób:
<tag [attribute]="expression or variable reference | pipeName">
nie możesz używać rur w ten sposób:
<tag attribute="expression or variable reference | pipeName">
lub w ten sposób
<tag attribute={{expression or variable reference | pipeName}}
Obejście Odkażanie za pomocą rur (do ponownego użycia kodu)
Projekt jest zgodny ze strukturą z przewodnika Angular2 Quickstart tutaj .
RootOfProject
|
+-- app
| |-- app.component.ts
| |-- main.ts
| |-- pipeUser.component.ts
| \-- sanitize.pipe.ts
|
|-- index.html
|-- main.html
|-- pipe.html
main.ts
import { bootstrap } from '@angular/platform-browser-dynamic';
import { AppComponent } from './app.component';
bootstrap(AppComponent);
Znajduje plik index.html w katalogu głównym projektu i tworzy go.
app.component.ts
import { Component } from '@angular/core';
import { PipeUserComponent } from './pipeUser.component';
@Component({
selector: 'main-app',
templateUrl: 'main.html',
directives: [PipeUserComponent]
})
export class AppComponent { }
Jest to komponent najwyższego poziomu, który grupuje inne używane komponenty.
pipeUser.component.ts
import { Component } from '@angular/core';
import { IgnoreSanitize } from "./sanitize.pipe";
@Component({
selector: 'pipe-example',
templateUrl: "pipe.html",
pipes: [IgnoreSanitize]
})
export class PipeUserComponent{
constructor () { }
unsafeValue: string = "unsafe/picUrl?id=";
docNum: string;
getUrl(input: string): any {
if(input !== undefined) {
return this.unsafeValue.concat(input);
// returns : "unsafe/picUrl?id=input"
} else {
return "fallback/to/something";
}
}
}
Ten komponent zapewnia widok dla potoku do pracy.
sanitize.pipe.ts
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizationService } from '@angular/platform-browser';
@Pipe({
name: 'sanitaryPipe'
})
export class IgnoreSanitize implements PipeTransform {
constructor(private sanitizer: DomSanitizationService){}
transform(input: string) : any {
return this.sanitizer.bypassSecurityTrustUrl(input);
}
}
Jest to logika opisująca, jakie formaty potoku.
index.html
<head>
Stuff goes here...
</head>
<body>
<main-app>
main.html will load inside here.
</main-app>
</body>
main.html
<othertags>
</othertags>
<pipe-example>
pipe.html will load inside here.
</pipe-example>
<moretags>
</moretags>
pipe.html
<img [src]="getUrl('1234') | sanitaryPipe">
<embed [src]="getUrl() | sanitaryPipe">
Jeśli chcesz sprawdzić HTML podczas działania aplikacji, zobaczysz, że wygląda to tak:
<head>
Stuff goes here...
</head>
<body>
<othertags>
</othertags>
<img [src]="getUrl('1234') | sanitaryPipe">
<embed [src]="getUrl() | sanitaryPipe">
<moretags>
</moretags>
</body>
Modified text is an extract of the original Stack Overflow Documentation
Licencjonowany na podstawie CC BY-SA 3.0
Nie związany z Stack Overflow