En RC.1 certains styles ne peuvent pas être ajoutés à l'aide de la syntaxe de liaison
Styles comme
<div [style.background-image]="\'url(\' + image + \')\'">Background</div>
<div [style.transform]="rotate(7deg)"
ne sont pas ajoutés plus
Vous devez vous connecter pour publier un commentaire.
mise à jour (2.0.0 final)
Voir aussi https://angular.io/api/platform-browser/DomSanitizer
mise à jour
DomSanitizationService
va être renomméDomSanitizer
en RC.6original
Ce doit être fixé dans la RC.2
Voir aussi Angular2 Guide Du Développeur - Sécurité
Angular2 intruduced stérilisation de la CSS des valeurs et des biens de liaison comme
[innerHTML]=...
et[src]="..."
en RC.1Voir aussi https://github.com/angular/angular/issues/8491#issuecomment-217467582
Les valeurs peuvent être marqués comme digne de confiance en utilisant
DomSanitizer.bypassSecurityTrustStyle(...)
et la liaison à cette valeur à la place de la non fiables chaîne simple.
Cela peut aussi être enveloppé dans une pipe comme
avec
est encore à travailler, cependant,: - [ (travail en cours)
Plunker exemple (Angulaire 2.0.0-rc-1)
Voir aussi Angulaire 2 Le Suivi De La Sécurité Problème
et https://angular.io/docs/ts/latest/api/platform-browser/index/DomSanitizer-class.html
Indice sur
{{...}}
Aseptisé contenu ne peut pas être lié à l'aide de
prop="{{sanitizedContent}}"
parce que{{}}
stringyfies la valeur avant il est affecté à laquelle les pauses d'assainissement.npm_modules
et de le réinstaller. J'ai vu que mentionné à plusieurs reprises récemment qu'il résout des problèmes bizarres.bypassSecurityXxx
SafeHtml
mettre en œuvrePipeTransform
?En contournant désinfectant faire confiance à tout le contenu peut être un problème de sécurité. Depuis Angulaire n'est pas un dédié désinfection de la bibliothèque, il est trop zélés vers un contenu suspect pour ne pas prendre de risques. Il supprime presque tous les attributs, par exemple. Vous pouvez déléguer la désinfection à la bibliothèque — DOMPurify. Voici un wrapper de la bibliothèque que j'ai fait pour utiliser facilement DOMPurify Angulaire.
https://github.com/TinkoffCreditSystems/ng-dompurify
Il dispose également d'un tuyau, de manière déclarative nettoyer le code HTML:
Une chose à garder à l'esprit est DOMPurify est idéal pour la désinfection HTML/SVG, mais pas CSS. De sorte que vous pouvez fournisseur Angulaire du CSS désinfectant pour gérer les CSS:
Interne — hense
ɵ
préfixe, mais c'est de cette façon Angulaire de l'équipe de l'utiliser à travers leurs propres forfaits ainsi de toute façon.