Я працюю над підручником із встановленням iframe srcатрибута:
<iframe width="100%" height="300" src="{{video.url}}"></iframe>
Це кидає виняток:
Error: unsafe value used in a resource URL context
at DomSanitizationServiceImpl.sanitize...
Я вже [src]без успіху намагався використовувати палітурку .
Відповіді:
Оновлення v8
Нижче відповіді працюють, але викриваєте вашу заявку ризикам безпеки XSS! . Замість використання this.sanitizer.bypassSecurityTrustResourceUrl(url)рекомендується використовуватиthis.sanitizer.sanitize(SecurityContext.URL, url)
Оновлення
Для версії RC.6 ^ використовуйте DomSanitizer
І хорошим варіантом є використання для цього чистої труби:
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer} from '@angular/platform-browser';
@Pipe({ name: 'safe' })
export class SafePipe implements PipeTransform {
constructor(private sanitizer: DomSanitizer) {}
transform(url) {
return this.sanitizer.bypassSecurityTrustResourceUrl(url);
}
} не забудьте додати ваш новий SafePipeдо declarationsмасиву AppModule. ( як видно з документації )
@NgModule({
declarations : [
...
SafePipe
],
})html
<iframe width="100%" height="300" [src]="url | safe"></iframe>Якщо ви використовуєте embedтег, це може бути цікавим для вас:
Стара версія RC.5
Ви можете використовувати DomSanitizationServiceтак:
export class YourComponent {
url: SafeResourceUrl;
constructor(sanitizer: DomSanitizationService) {
this.url = sanitizer.bypassSecurityTrustResourceUrl('your url');
}
}А потім прив’яжіть до urlсвого шаблону:
<iframe width="100%" height="300" [src]="url"></iframe>Не забудьте додати наступний імпорт:
import { SafeResourceUrl, DomSanitizationService } from '@angular/platform-browser';Pipe({ name: 'safe' }) export class SafePipe implements PipeTransform { constructor(private sanitizer: DomSanitizer) {} transform(url): any { return this.sanitizer.bypassSecurityTrustResourceUrl(url); } } і в шаблоні дзвоню <iframe width="100%" height="315" src="{{url}} | safe" frameborder="0" allowfullscreen></iframe>. Але це не працює з помилковим "небезпечним значенням". Будь ласка, допоможіть
[src]="url | safe"просто зняти дужки
this.sanitizer.sanitize(SecurityContext.URL, url)я отримую помилку "Помилка помилки: небезпечне значення, яке використовується в контексті URL-адреси ресурсу", я міняю її на this.sanitizer.bypassSecurityTrustResourceUrl(url)чудову роботу. Будь-яка ідея, що може бути не так?
this.sanitizer.sanitize(SecurityContext.URL, url)не працює і не this.sanitizer.bypassSecurityTrustResourceUrl(url)працює, але ставить проблему з високою вразливістю безпеки при аналізі статичного коду, що не дозволяє мені перенести це на виробництво. Потрібен спосіб виправити це
Цей працює для мене.
import { Component,Input,OnInit} from '@angular/core';
import {DomSanitizer,SafeResourceUrl,} from '@angular/platform-browser';
@Component({
moduleId: module.id,
selector: 'player',
templateUrl: './player.component.html',
styleUrls:['./player.component.scss'],
})
export class PlayerComponent implements OnInit{
@Input()
id:string;
url: SafeResourceUrl;
constructor (public sanitizer:DomSanitizer) {
}
ngOnInit() {
this.url = this.sanitizer.bypassSecurityTrustResourceUrl(this.id);
}
}Це підходить мені до кутового 5.2.0
sarasa.Component.ts
import { Component, OnInit, Input } from '@angular/core';
import { DomSanitizer, SafeResourceUrl } from '@angular/platform-browser';
@Component({
selector: 'app-sarasa',
templateUrl: './sarasa.component.html',
styleUrls: ['./sarasa.component.scss']
})
export class Sarasa implements OnInit {
@Input()
url: string = "https://www.mmlpqtpkasjdashdjahd.com";
urlSafe: SafeResourceUrl;
constructor(public sanitizer: DomSanitizer) { }
ngOnInit() {
this.urlSafe= this.sanitizer.bypassSecurityTrustResourceUrl(this.url);
}
}
sarasa.Component.html
<iframe width="100%" height="100%" frameBorder="0" [src]="urlSafe"></iframe>
це все, шановні!!!
constructor(
public sanitizer: DomSanitizer, ) {
}
Я боровся 4 години. проблема була в тезі img. Коли ви використовуєте квадратну дужку для 'src', наприклад: [src]. ви не можете використовувати цей кутовий вираз {{}}. ви просто наводите безпосередньо приклад об'єкта нижче. якщо дати кутовий вираз {{}}. ви отримаєте помилку інтерполяції.
Спочатку я використав ngFor для повторення країн
*ngFor="let country of countries"
по-друге, ви помістите це в тег img. це воно.
<img [src]="sanitizer.bypassSecurityTrustResourceUrl(country.flag)"
height="20" width="20" alt=""/>
Я також зіткнувся з цим питанням, але для того, щоб використовувати безпечну трубу в своєму кутовому модулі, я встановив пакет npm безпечної труби, який ви можете знайти тут . FYI, це працювало в Angular 9.1.3, я не пробував цього в будь-яких інших версіях Angular. Ось як ви додаєте його поетапно:
Встановіть пакет через npm встановіть безпечну трубу або пряжу додайте безпечну трубу. Це збереже посилання на нього у ваших залежностях у файлі package.json, яке ви вже повинні мати при запуску нового кутового проекту.
Додайте модуль SafePipeModule в NgModule.imports у файл вашого кутового модуля так:
import { SafePipeModule } from 'safe-pipe';
@NgModule({
imports: [ SafePipeModule ]
})
export class AppModule { }
Додайте безпечну трубку до елемента в шаблоні для кутового компонента, який ви імпортуєте у свій NgModule таким чином:
<element [property]="value | safe: sanitizationType"></element>
<div [style.background-image]="'url(' + pictureUrl + ')' | safe: 'style'" class="pic bg-pic"></div>
<img [src]="pictureUrl | safe: 'url'" class="pic" alt="Logo">
<iframe [src]="catVideoEmbed | safe: 'resourceUrl'" width="640" height="390"></iframe>
<pre [innerHTML]="htmlContent | safe: 'html'"></pre>
Я зазвичай додаю окремий компонент для багаторазового використання безпечної труби наступним чином
# Add Safe Pipe
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';
@Pipe({name: 'mySafe'})
export class SafePipe implements PipeTransform {
constructor(private sanitizer: DomSanitizer) {
}
public transform(url) {
return this.sanitizer.bypassSecurityTrustResourceUrl(url);
}
}
# then create shared pipe module as following
import { NgModule } from '@angular/core';
import { SafePipe } from './safe.pipe';
@NgModule({
declarations: [
SafePipe
],
exports: [
SafePipe
]
})
export class SharedPipesModule {
}# import shared pipe module in your native module
@NgModule({
declarations: [],
imports: [
SharedPipesModule,
],
})
export class SupportModule {
}<!-------------------
call your url (`trustedUrl` for me) and add `mySafe` as defined in Safe Pipe
---------------->
<div class="container-fluid" *ngIf="trustedUrl">
<iframe [src]="trustedUrl | mySafe" align="middle" width="100%" height="800" frameborder="0"></iframe>
</div>Вітаємо! ¨ ^^ У мене є просте та ефективне рішення для вас, так!
<iframe width="100%" height="300" [attr.src]="video.url"></iframe
[attr.src] замість src "video.url", а не {{video.url}}
Чудово;)
unsafe value used in a resource URL context
<video> <source [src]=video.url type="video/mp4" /> Browser not supported </video> насправді, ви можете використовувати його впорядкованому для того, щоб також знімати документи. Якщо у вас виникли проблеми при використанні