Angular 5 - 使用管道清理 HTML
问题描述 投票:0回答:4
当我收到警告时:
“警告:清理 HTML 会删除一些内容”
我做了一些研究,看到人们使用下面的管道或类似于下面的管道
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(v: string): SafeHtml {
return this._sanitizer.bypassSecurityTrustHtml(v);
}
}
不幸的是,即使我像这样实现管道,我仍然遇到相同的错误:
<span [innerHTML]="specialist.blocks[0].paragraph.html | sanitizeHtml"></span>
<p [innerHTML]="package.fields.remarks | sanitizeHtml"></p>
<li [innerHTML]="package.fields.name | sanitizeHtml"></li>
所以我想知道我是否错误地实现了管道,或者还有其他原因导致它不起作用?
编辑:
specialist.blocks[0].paragraph.html”< div id="test" class="test"> < h3>指定专家< /h3> < p>随机文本< /p>< /div> < /div>”
package.fields.remarks“安排:3 nachten incl. ontbijt en 2 greenfees p.p. met keuze 南北< br> - 免费 dagelijkse toegang tot de spa(1 uur 哈曼、桑拿、zwembad、水力按摩)”
package.fields.name“Shortbreak 3 nachten< br>2 人/高级双人间/LO,包括高尔夫”
在 Firefox 和 Chrome 中获取警告
4个回答
8
投票
投票
如下例所示,如果您尝试在 html Angular 中打印
{}- 使用管道
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(value: string): SafeHtml {
return this._sanitizer.bypassSecurityTrustHtml(value);
}
}
在组件中您可以将其用作
{{variable | santizeHtml }}- 使用组件, 作为如下的属性绑定, 在.ts文件中声明html
const allowedChars = '@ # $ % ^ & * ( ) _ - ., ? < > { } [ ] ! +';
并在模板中使用它,
<span [innerHTML]="allowedChars"></span>
3
投票
投票
演示:https://stackblitz.com/edit/angular-vjt27k?file=app%2Fsanitize-html.pipe.ts
管道.ts
import { Pipe, PipeTransform } from '@angular/core';
@Pipe({ name: 'sanitizeHtml'})
export class sanitizeHtmlPipe implements PipeTransform {
transform(value) {
return value.split('< ').join('<');
}
}
0
投票
投票
正确的解决方案应该遵循Angular安全指南:
[..] 避免直接与 DOM 交互,而是尽可能使用 Angular 模板。
对于不可避免的情况,请使用内置的 Angular 清理函数。使用 DomSanitizer.sanitize 方法和适当的 SecurityContext 清理不受信任的值。该函数还接受使用bypassSecurityTrust …函数标记为可信的值,并且不会对它们进行清理,如下所述。
所以
DomSanitizersanitize例如在这样的管道中:
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(untrustedHtml: string): SafeValue {
return this._sanitizer.sanitize(SecurityContext.HTML, untrustedHtml);
}
}
当然,请记住,这里的示例仅适用于 且仅适用于 HTML 。对于 CSS 清理等,您需要一个不同的管道(即只需更改
SecurityContext-2
投票
投票
- 一切都很好,但您的 HTML 并不完美。所以你需要从 html 标签中删除空格。
- 你的 JSON 应该是这样的
JSON:
specialist: any = {
"blocks": [
{
"paragraph": {
"html": '<div id="test" class="test">\n<h3>NAME SPECIALIST</h3>\n<p>random text</p> <div>\n</div>'
}
}
]
}
package: any = {
"fields": {
"remarks": 'Arrangement: 3 nachten incl. ontbijt en 2 greenfees p.p. met keuze uit North en South<br>\n- gratis dagelijkse toegang tot de spa (1 uur Hamman, sauna, zwembad, hydromassage)',
"name": 'Shortbreak 3 nachten<br>2 pers./Superior Double/LO, incl. golf'
}
}
HTML:
<span [innerHTML]="specialist.blocks[0].paragraph.html | sanitizeHtml"></span>
<p [innerHTML]="package.fields.remarks | sanitizeHtml"></p>
<li [innerHTML]="package.fields.name | sanitizeHtml"></li>
消毒管道 TS:
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
@Pipe({ name: 'sanitizeHtml' })
export class SanitizeHtmlPipe implements PipeTransform {
constructor(private _sanitizer: DomSanitizer) { }
transform(v: any): any {
return this._sanitizer.bypassSecurityTrustHtml(v);
}
}
输出:
有关完整的 HTML 清理导入设置过程,请参阅 这篇文章
最新问题
- 如何在 Swing 中将 JScrollPane 与 JTextArea 结合使用?
- 将参数从 .cmd 传递到 .exe
- 如何将Bacnet集成到arduino中
- fs.watch 在 Electron 中不返回 FSWatcher 实例
- 如何从雪花中的字符串中查找year_month_date
- 带有单元格引用和通配符 (*) 的 Excel 公式搜索条件不包括单元格仅包含引用字符串的结果
- 读取 Twincat ADS EtherCAT 设备上 I/O 端子的状态
- 如何让nodejs应用程序端口从http转到https而不破坏默认的80/443访问路径?
- 如何在除 Google 表格中的三个选项卡之外的所有表格上运行 Google 表格应用脚本?
- 如何在 pandas 系列中用 at[] 替换 set_value
- 如何从GtkAda获取颜色?
- 在 Windows 上安装 pycddlib 构建轮子失败
- Databricks 中的 Redshift 查询比 Redshift 客户端中花费的时间更长
- 为什么定义名称前面的加号会影响封闭函数的结果?
- Tinymce 如何将图片的替代描述字段设为必填?
- 从毫秒转换为日期时间格式
- SD_MCC.remove() 函数在 ESP32CAM 上不起作用
- R stats `aov` 使用所有可用核心而不是仅一个
- Go 中如何区分 nil 错误值
- Apache Ignite 节点经常失败
© www.soinside.com 2019 - 2024. All rights reserved.