angular 2/4/6 中的 html代码解析
“WARNING: sanitizing HTML stripped some content”
Web应用程序的安全涉及到很多方面。针对常见的漏洞和攻击,比如跨站脚本攻击,Angular提供了一些内置的保护措施。为了系统性的防范XSS问题,Angular默认把所有值都当做不可信任的。 当值从模板中以属性(Property)、DOM元素属性(Attribte)、CSS类绑定或插值表达式等途径插入到DOM中的时候, Angular将对这些值进行无害化处理(Sanitize),对不可信的值进行编码。
Angular定义了四个安全环境 - HTML,样式,URL,和资源URL:
HTML:值需要被解释为HTML时使用,比如当绑定到innerHTML时。
样式:值需要作为CSS绑定到style属性时使用。
URL:值需要被用作URL属性时使用,比如。
资源URL:值需要被当做代码而加载并执行时使用,比如
