使用 DomSanitizer 绕过安全性后，安全值必须使用 [property]=binding

Question

<!--HTML CODE-->
<p #mass_timings></p>

//Controller code

@ViewChild('mass_timings') mass_timings: ElementRef;
constructor(private domSanitizer:DomSanitizer)
getInnerHTMLValue(){
 this.mass_timings.nativeElement.innerHTML = 
   this.domSanitizer.bypassSecurityTrustHtml(this.parishDetail.mass_timings);

}

但 mass_timings 显示的输出包括文本：-

安全值必须使用 [property]=binding

开头

如何删除这个字符串。

Answer 1

正如错误消息所说，需要使用属性绑定添加经过清理的 HTML：

<p [innerHTML]="massTimingsHtml"></p>

constructor(private domSanitizer:DomSanitizer) {
  this.massTimingsHtml = this.getInnerHTMLValue();
}
getInnerHTMLValue(){
  return this.domSanitizer.bypassSecurityTrustHtml(this.parishDetail.mass_timings);
}

StackBlitz example（基于 Swapnil Patwa 的 Plunker - 请参阅下面的 cmets）

Answer 2

您需要像这样 sanitize() 安全值：

this.domSanitizer.sanitize(SecurityContext.HTML,this.domSanitizer.bypassSecurityTrustHtml(this.parishDetail.mass_timings));

Answer 3

我在使用 iframe 时遇到此错误，因此我使用[src] 进行了修复，如下所示：

注意：使用管道获得更好的性能

导入：

import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
constructor(private sanitizer: DomSanitizer, ....other DI){}

在ts文件中

getSafeUrl() {
        return this.sanitizer.bypassSecurityTrustResourceUrl(this.url);     
}

在 html 文件中

<iframe [src]="getSafeUrl()" frameborder="0" *ngIf="url"></iframe>

此方法非常耗时，因为它会多次调用该函数，因此最好在 lifeCycleHooks 中清理 URL，例如 ngOnInit()。

您也可以使用管道来获得更好的性能：

使用管道

HTML：

<iframe [src]="url | byPassSecurity"></iframe>

Sanitize.pipe.ts：

import { Pipe, PipeTransform, SecurityContext } from "@angular/core";
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Pipe({
    name: 'byPassSecurity'
})
export class ByPassSecurityPipe implements PipeTransform {

    constructor(private sanitizer: DomSanitizer) {}

    transform (value: string): SafeHtml {
        return this.sanitizer.bypassSecurityTrustHtml(value);
    }
}

Answer 4

我使用 Pipe 的解决方案。

HTML

<div [innerHtml]="htmlValue | byPassSecurity"></div>

管道

import { Pipe, PipeTransform, SecurityContext } from "@angular/core";
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Pipe({
    name: 'byPassSecurity'
})
export class ByPassSecurityPipe implements PipeTransform {

    constructor(private sanitizer: DomSanitizer) {}

    transform (value: string): SafeHtml {
        return this.sanitizer.bypassSecurityTrustHtml(value);
    }
}

Answer 5

我在角度 7 中使用 MATHJAX 时遇到了同样的错误。我通过下面的管道变换解决了。 100% 完美运行

//清理HTML PIPE

import { Pipe, PipeTransform, SecurityContext } from "@angular/core";
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Pipe({
    name: 'sanitizeHtml'
})
export class SanitizeHtmlPipe implements PipeTransform {

    constructor(private _sanitizer: DomSanitizer) {
    }

    transform(value: string): SafeHtml {
        return this._sanitizer.sanitize(SecurityContext.HTML, this._sanitizer.bypassSecurityTrustHtml(value))
    }
}

Answer 6

你不需要到处绑定[innerHtml]。

它可以像这样一起使用sanitize() 和bypassSecurityTrustHtml() 工作：

this.mass_timings.nativeElement.innerHTML = (
    this.domSanitizer.sanitize(SecurityContext.HTML, this.domSanitizer.bypassSecurityTrustHtml(this.parishDetail.mass_timings))
);