Angular DomSanitizer - SecurityContext.NONE
问题描述:
官方Angular Security Guide讲述4个安全上下文:HTML, Url, Style and ResourceUrl
。
每个人负责消毒对应的资源类型。
此外,也有DomSanitizer服务Angular DomSanitizer - SecurityContext.NONE
- bypassSecurityTrustHtml
- bypassSecurityTrustScript
- bypassSecurityTrustStyle
- bypassSecurityTrustUrl
- bypassSecurityTrustResourceUrl
但是5种方法(每资源型),我没有找到官方文档中的SecurityContext.NONE
任何提及。在代码中它是does exist。
我会认为它聚合了所有的资源类型,这意味着被清理的资源可以是HTML,其中包含样式和脚本。
是这样吗?任何官方消息?
答
显然,如果我们使用domSanitizer.sanitize
与SecurityContext.NONE
,它将不会执行任何卫生设施和will return的值。
因此,这将允许带嵌入式URL,样式和脚本的HTML。
因此,强烈建议不要在您的代码中使用它。