109

После обновления до последней версии-кандидата Angular 2 мои imgтеги:

<img class='photo-img' [hidden]="!showPhoto1" src='{{theMediaItem.photoURL1}}'>

выдают ошибку браузера:

ОРИГИНАЛЬНОЕ ИСКЛЮЧЕНИЕ: Ошибка: небезопасное значение, используемое в контексте URL ресурса

Значение URL-адреса:

http://veeu-images.s3.amazonaws.com/media/userphotos/116_1464645173408_cdv_photo_007.jpg

РЕДАКТИРОВАТЬ:

Я пробовал предложение, сделанное в другом решении, что этот вопрос должен быть дубликатом, но я получаю ту же ошибку.

Я добавил в контроллер следующий код:

import {DomSanitizationService} from '@angular/platform-browser';

@Component({
  templateUrl: 'build/pages/veeu/veeu.html'
})
export class VeeUPage {
  static get parameters() {
    return [[NavController], [App], [MenuController], [DomSanitizationService]];
  }

  constructor(nav, app, menu, sanitizer) {

    this.app = app;
    this.nav = nav;
    this.menu = menu;
    this.sanitizer = sanitizer;

    this.theMediaItem.photoURL1 = this.sanitizer.bypassSecurityTrustUrl(this.mediaItems[1].url);
  }

Я все еще получаю то же сообщение об ошибке.

РЕДАКТИРОВАТЬ2:

Я также изменил html на:

<img class='photo-img' [hidden]="!showPhoto1" [src]='theMediaItem.photoURL1'>

Я все еще получаю то же сообщение об ошибке

angular

— Билл Ноубл
источник

Я не понимаю, что мне следует изменить. Могу ли я изменить src = "{{something.else}}" на [src] = "something.else"?

— Билл Нобл,

1

Точно:[src]='theMediaItem.photoURL1'

— Günter Zöchbauer

Да, я пробовал и получаю такое же сообщение об ошибке.

— Билл Нобл,

Какую версию Angular2 вы используете?

— Günter Zöchbauer

Я думаю, что использую 2.0.0-beta.15 (я использую ionic и не совсем уверен, как это проверить). Извиняюсь за то, как я добавил код. Я не понимаю протокол.

— Билл Нобл,

95

Я использую rc.4, и этот метод работает для ES2015 (ES6):

import {DomSanitizationService} from '@angular/platform-browser';

@Component({
  templateUrl: 'build/pages/veeu/veeu.html'
})
export class VeeUPage {
  static get parameters() {
    return [NavController, App, MenuController, DomSanitizationService];
  }

  constructor(nav, app, menu, sanitizer) {

    this.app = app;
    this.nav = nav;
    this.menu = menu;
    this.sanitizer = sanitizer;    
  }

  photoURL() {
    return this.sanitizer.bypassSecurityTrustUrl(this.mediaItems[1].url);
  }
}

В HTML:

<iframe [src]='photoURL()' width="640" height="360" frameborder="0"
    webkitallowfullscreen mozallowfullscreen allowfullscreen>
</iframe>

Использование функции гарантирует, что значение не изменится после его дезинфекции. Также имейте в виду, что используемая вами функция очистки зависит от контекста.

Для изображений это bypassSecurityTrustUrlбудет работать, но для других целей вам необходимо обратиться к документации :

https://angular.io/docs/ts/latest/api/platform-browser/index/DomSanitizer-class.html

— лось
источник

3

Что такое «rc4» (а позже Хельцгейт ссылается на RC3 )? Я имею в виду, как мне сопоставить это с версией github? И в github, и в npm я вижу только версии вроде 2.4.4 или 2.4.5. Сейчас я использую 2.4.4, и мне кажется, что DomSanitizer изменился; Итак, вот импорт, который вам нужен:import {DomSanitizer} from '@angular/platform-browser';

— Red Pea

О, я думаю, что ветки github angular будут ссылаться, 2.4.xнапример, но теги github будут ссылаться на кандидатов на выпуск, например 2.0.0-rc3. И я вижу в rc3 , например, класс все еще был назван DomSanitizationService.

— The Red Pea

1

this.sanitizer.bypassSecurityTrustResourceUrl(url)для видео

— прайагупд

Внимательно прочтите документацию перед использованием этого: bypassSecurityTrustUrl () ВНИМАНИЕ: вызов этого метода с ненадежными пользовательскими данными подвергает ваше приложение риску безопасности XSS! Мне кажется, что это небезопасно, если только вы не уверены в надежности источника изображения. Даже если он поступает с сервера, если он был загружен пользователем, такое решение можно было бы использовать.

— Уилт

144

Труба

// Angular
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer, SafeHtml, SafeStyle, SafeScript, SafeUrl, SafeResourceUrl } from '@angular/platform-browser';

/**
 * Sanitize HTML
 */
@Pipe({
  name: 'safe'
})
export class SafePipe implements PipeTransform {
  /**
   * Pipe Constructor
   *
   * @param _sanitizer: DomSanitezer
   */
  // tslint:disable-next-line
  constructor(protected _sanitizer: DomSanitizer) {
  }

  /**
   * Transform
   *
   * @param value: string
   * @param type: string
   */
  transform(value: string, type: string): SafeHtml | SafeStyle | SafeScript | SafeUrl | SafeResourceUrl {
    switch (type) {
      case 'html':
        return this._sanitizer.bypassSecurityTrustHtml(value);
      case 'style':
        return this._sanitizer.bypassSecurityTrustStyle(value);
      case 'script':
        return this._sanitizer.bypassSecurityTrustScript(value);
      case 'url':
        return this._sanitizer.bypassSecurityTrustUrl(value);
      case 'resourceUrl':
        return this._sanitizer.bypassSecurityTrustResourceUrl(value);
      default:
        return this._sanitizer.bypassSecurityTrustHtml(value);
    }
  }
}

Шаблон

{{ data.url | safe:'url' }}

Это оно!

Примечание: вам это не нужно, но вот компонентное использование трубы

  // Public properties
  itsSafe: SafeHtml;

  // Private properties
  private safePipe: SafePipe = new SafePipe(this.domSanitizer);

  /**
   * Component constructor
   *
   * @param safePipe: SafeHtml
   * @param domSanitizer: DomSanitizer
   */
  constructor(private safePipe: SafePipe, private domSanitizer: DomSanitizer) {
  }

  /**
   * On init
   */
  ngOnInit(): void {
    this.itsSafe = this.safePipe.transform('<h1>Hi</h1>', 'html');
  }

— Helzgate
источник

33

Самый элегантный способ исправить это: использовать pipe. Вот пример (мой блог). Таким образом, вы можете просто использовать url | safepipe для обхода защиты.

<iframe [src]="url | safe"></iframe>

Подробности см. В документации по npm: https://www.npmjs.com/package/safe-pipe

— Филип Мольчик
источник

24

Используйте Safe Pipe, чтобы исправить это.

Создайте безопасную трубу, если у вас ее нет.

ng gc безопасный для труб
добавить Safe pipe в app.module.ts

объявления: [SafePipe]
объявить безопасную трубу в вашем ТС

Импортируйте Dom Sanitizer и Safe Pipe для безопасного доступа к URL

import { Pipe, PipeTransform} from '@angular/core';
import { DomSanitizer } from "@angular/platform-browser";

@Pipe({ name: 'safe' })

export class SafePipe implements PipeTransform {

constructor(private sanitizer: DomSanitizer) { }
transform(url) {
 return this.sanitizer.bypassSecurityTrustResourceUrl(url);
  }
}

- Добавить сейф с URL-адресом src

<iframe width="900" height="500" [src]="link | safe"/>

— sjsj15
источник

2

Большой! Одно: разве это не должно быть «ng g pipe safe» вместо «ng gc pipe safe», что, очевидно, не сработает?

— Якоб-Ян Моссельман,

15

Либо вы можете предоставить дезинфицирующее средство для представления, либо предоставить метод, который перенаправляет вызов в bypassSecurityTrustUrl

<img class='photo-img' [hidden]="!showPhoto1" 
    [src]='sanitizer.bypassSecurityTrustUrl(theMediaItem.photoURL1)'>

— Nguyện Vingt Trung
источник

2

Angular по умолчанию считает все значения ненадежными. Когда значение вставляется в DOM из шаблона через свойство, атрибут, стиль, привязку класса или интерполяцию, Angular очищает и избегает ненадежных значений.

Поэтому, если вы напрямую манипулируете DOM и вставляете в него контент, вам необходимо очистить его, иначе Angular выдаст ошибки.

Я создал канал SanitizeUrlPipe для этого

import { PipeTransform, Pipe } from "@angular/core";
import { DomSanitizer, SafeHtml } from "@angular/platform-browser";

@Pipe({
    name: "sanitizeUrl"
})
export class SanitizeUrlPipe implements PipeTransform {

    constructor(private _sanitizer: DomSanitizer) { }

    transform(v: string): SafeHtml {
        return this._sanitizer.bypassSecurityTrustResourceUrl(v);
    }
}

и вот как вы можете использовать

<iframe [src]="url | sanitizeUrl" width="100%" height="500px"></iframe>

Если вы хотите добавить HTML, то SanitizeHtmlPipe может помочь

import { PipeTransform, Pipe } from "@angular/core";
import { DomSanitizer, SafeHtml } from "@angular/platform-browser";

@Pipe({
    name: "sanitizeHtml"
})
export class SanitizeHtmlPipe implements PipeTransform {

    constructor(private _sanitizer: DomSanitizer) { }

    transform(v: string): SafeHtml {
        return this._sanitizer.bypassSecurityTrustHtml(v);
    }
}

Подробнее о безопасности angular читайте здесь .

— Сунил Гарг
источник

1

Я обычно добавляю отдельный safe pipeмногоразовый компонент следующим образом

# Add Safe Pipe

import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';

@Pipe({name: 'mySafe'})
export class SafePipe implements PipeTransform {
    constructor(private sanitizer: DomSanitizer) {
    }

    public transform(url) {
        return this.sanitizer.bypassSecurityTrustResourceUrl(url);
    }
}

# then create shared pipe module as following 

import { NgModule } from '@angular/core'; 
import { SafePipe } from './safe.pipe';
@NgModule({
    declarations: [
        SafePipe
    ],
    exports: [
        SafePipe
    ]
})
export class SharedPipesModule {
}

# import shared pipe module in your native module

@NgModule({
    declarations: [],
    imports: [
        SharedPipesModule,
    ],
})
export class SupportModule {
}

<!-------------------
call your url (`trustedUrl` for me) and add `mySafe` as defined in Safe Pipe
---------------->
<div class="container-fluid" *ngIf="trustedUrl">
    <iframe [src]="trustedUrl | mySafe" align="middle" width="100%" height="800" frameborder="0"></iframe>
</div>

— Янки
источник

0

import {DomSanitizationService} from '@angular/platform-browser';
@Component({
 templateUrl: 'build/pages/veeu/veeu.html'
 })
  export class VeeUPage {
     trustedURL:any;
      static get parameters() {
               return [NavController, App, MenuController, 
              DomSanitizationService];
        }
      constructor(nav, app, menu, sanitizer) {
        this.app = app;
        this.nav = nav;
        this.menu = menu;
        this.sanitizer = sanitizer;  
        this.trustedURL  = sanitizer.bypassSecurityTrustUrl(this.mediaItems[1].url);
        } 
 }



 <iframe [src]='trustedURL' width="640" height="360" frameborder="0"
   webkitallowfullscreen mozallowfullscreen allowfullscreen>
</iframe>


User property binding instead of function.

— ани
источник

0

Чтобы избежать unsafe urlошибки, можно установить изображение как фоновое :

<div [style.backgroundImage]="'url(' + imageUrl + ')'" class="show-image"></div>

CSS:

.show-image {
    width: 100px;
    height: 100px;
    border-radius: 50%;
    background-size: cover;        
}

— StepUp
источник

<img>: небезопасное значение, используемое в контексте URL ресурса

Труба

Шаблон

Это оно!