前段时间我意识到我不能简单地将字符串传递给
<img ...>SafeUrlSafeStyle@angular/platform-browser清理意味着你明确地告诉 Angular 认为内容是安全的。 它只不过是 Angular 的一个标记,你负责并且 Angular 不需要检查内容是否存在潜在的不安全内容。仅在您知道内容来自何处且不包含有害内容的情况下“清理”内容。
这也是您需要使用属性绑定符号
[innerHTML]="sanitizedConentinnerHTML="{{sanitizedContent}}"sanitizedContenttoString属性绑定适用于 src 属性但不适用于 style 属性的原因是因为它们在 Angular 中具有不同的安全上下文。
src 属性被认为是受信任的 URL 上下文,这意味着 Angular 会自动sanitizes URL 并将其标记为可以在 img 元素的 src 属性中安全使用。
另一方面,style属性被认为是不受信任的上下文,这意味着 Angular 不会自动sanitize为此属性设置的任何值。相反,它希望开发人员使用 DomSanitizer 服务手动清理值。
解决这个问题的一种方法是使用 DomSanitizer 服务从 SafeUrl 对象创建一个 SafeStyle 对象,以便在 [style] attribute property bidning
绕过 DomSanitizer 服务的 SecurityTrustStyle 方法,从 SafeUrl 对象创建一个 SafeStyle 对象。