Angular 5 - 使用管道清理 HTML
问题描述 投票:0回答:4
当我收到警告时:
“警告:清理 HTML 会删除一些内容”
我做了一些研究,看到人们使用下面的管道或类似于下面的管道
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(v: string): SafeHtml {
return this._sanitizer.bypassSecurityTrustHtml(v);
}
}
不幸的是,即使我像这样实现管道,我仍然遇到相同的错误:
<span [innerHTML]="specialist.blocks[0].paragraph.html | sanitizeHtml"></span>
<p [innerHTML]="package.fields.remarks | sanitizeHtml"></p>
<li [innerHTML]="package.fields.name | sanitizeHtml"></li>
所以我想知道我是否错误地实现了管道,或者还有其他原因导致它不起作用?
编辑:
specialist.blocks[0].paragraph.html”< div id="test" class="test"> < h3>指定专家< /h3> < p>随机文本< /p>< /div> < /div>”
package.fields.remarks“安排:3 nachten incl. ontbijt en 2 greenfees p.p. met keuze 南北< br> - 免费 dagelijkse toegang tot de spa(1 uur 哈曼、桑拿、zwembad、水力按摩)”
package.fields.name“Shortbreak 3 nachten< br>2 人/高级双人间/LO,包括高尔夫”
在 Firefox 和 Chrome 中获取警告
4个回答
8
投票
投票
如下例所示,如果您尝试在 html Angular 中打印
{}- 使用管道
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(value: string): SafeHtml {
return this._sanitizer.bypassSecurityTrustHtml(value);
}
}
在组件中您可以将其用作
{{variable | santizeHtml }}- 使用组件, 作为如下的属性绑定, 在.ts文件中声明html
const allowedChars = '@ # $ % ^ & * ( ) _ - ., ? < > { } [ ] ! +';
并在模板中使用它,
<span [innerHTML]="allowedChars"></span>
3
投票
投票
演示:https://stackblitz.com/edit/angular-vjt27k?file=app%2Fsanitize-html.pipe.ts
管道.ts
import { Pipe, PipeTransform } from '@angular/core';
@Pipe({ name: 'sanitizeHtml'})
export class sanitizeHtmlPipe implements PipeTransform {
transform(value) {
return value.split('< ').join('<');
}
}
0
投票
投票
正确的解决方案应该遵循Angular安全指南:
[..] 避免直接与 DOM 交互,而是尽可能使用 Angular 模板。
对于不可避免的情况,请使用内置的 Angular 清理函数。使用 DomSanitizer.sanitize 方法和适当的 SecurityContext 清理不受信任的值。该函数还接受使用bypassSecurityTrust …函数标记为可信的值,并且不会对它们进行清理,如下所述。
所以
DomSanitizersanitize例如在这样的管道中:
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(untrustedHtml: string): SafeValue {
return this._sanitizer.sanitize(SecurityContext.HTML, untrustedHtml);
}
}
当然,请记住,这里的示例仅适用于 且仅适用于 HTML 。对于 CSS 清理等,您需要一个不同的管道(即只需更改
SecurityContext-2
投票
投票
- 一切都很好,但您的 HTML 并不完美。所以你需要从 html 标签中删除空格。
- 你的 JSON 应该是这样的
JSON:
specialist: any = {
"blocks": [
{
"paragraph": {
"html": '<div id="test" class="test">\n<h3>NAME SPECIALIST</h3>\n<p>random text</p> <div>\n</div>'
}
}
]
}
package: any = {
"fields": {
"remarks": 'Arrangement: 3 nachten incl. ontbijt en 2 greenfees p.p. met keuze uit North en South<br>\n- gratis dagelijkse toegang tot de spa (1 uur Hamman, sauna, zwembad, hydromassage)',
"name": 'Shortbreak 3 nachten<br>2 pers./Superior Double/LO, incl. golf'
}
}
HTML:
<span [innerHTML]="specialist.blocks[0].paragraph.html | sanitizeHtml"></span>
<p [innerHTML]="package.fields.remarks | sanitizeHtml"></p>
<li [innerHTML]="package.fields.name | sanitizeHtml"></li>
消毒管道 TS:
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(v: any): any {
return this._sanitizer.bypassSecurityTrustHtml(v);
}
}
输出:
有关完整的 HTML 清理导入设置过程,请参阅 这篇文章
最新问题
- 控制器不使用 NumberInputWithIncrementDecrement 更新值
- Flutter `Listener` 检测渲染子区域之外的事件
- 这是 forallpeople 库中的错误还是我在使用 handcalcs 库时以错误的方式进行算术?
- 无法使用selenium与谷歌地图交互以获取路线详细信息
- 如何在 fullCalendar 中显示每个单独资源和每个时间段中的内容
- 在initPaymentSheet之后但在调用confirmPaymentSheetPayment之前更改金额
- 从 Java 调用 Objective-C 方法
- Saas部署架构
- 通过 axios 在 RapidAPI 中调用 Yahoo Finance API 返回错误 500
- BoxConstraints 导致 TextBox 由于换行而未与 Text 对齐。颤动布局
- django 表单的默认日期时间值
- 底部导航在 React Native 中不起作用
- 在 Spring Boot 网页中显示数据库中存储的图像
- 我想显示每个资源和每个时段的动态价格如何做到这一点,而且我也使用了这个钩子dayCellDidMount但没有
- 如何在微软清晰度中设置自定义ID(用户ID)?
- 如何在 clojure 中比较不同数字类型
- serializermethodfield() 中没有输出
- postStart 的日志未打印
- 如何为大型 Pandas 数据框生成嵌入?
- 如何从不响应GET的网页获取数据
© www.soinside.com 2019 - 2024. All rights reserved.