Angular - 如何防止來自事件的 RxJs 中的 XSS 攻擊?
[英]Angular - how to prevent XSS attacks in RxJs fromEvent?
問題描述
我經常使用fromEvent中的 fromEvent 方法。 老實說,我期待 Angular 有一些魔力,但顯然沒有。 使用fromEvent時如何防止 XSS 攻擊?
代碼示例:
<input #myInput />
fromEvent(this.muInput.nativeElement, 'input').pipe(
tap(inputEvent => this.saveToDatabase(inputEvent.data)
)
1 個解決方案
解決方案1
1 已采納 2019-10-30 02:54:44
對於您的問題,使用fromEvent您會得到與反應形式的valueChanges相同的 output ,就安全措施而言,它幾乎相同。
<input formcontrol="myInput"/>
myInput.valueChanges.subscribe(console.log)
對比
<input #myInput />
fromEvent(this.muInput.nativeElement, 'input').subscribe(console.log)
Angular 將清理 output 如果您在視圖中將它們包裝在表達式花括號中
{{ .. }}
但它不會清理表單輸入,所以這仍然是一個有效的表單輸入,並且仍然需要在服務器端進行清理。
<script>alert('kdfkf')</script>
我不建議使用fromEvent來處理更改,因為在大多數情況下,您只綁定一次到某個元素(假設在 ngOnInit 中),如果該元素通過*ngIf從 DOM 中刪除,除非您有處理重新綁定的代碼,否則您的事件將消失。
這個答案也可能有幫助Need to insert Script tag in angular 2
如何處理REST查詢參數中的HTML塊,防止XSS攻擊?
[英]How to handle HTML blocks in the parameters of the REST query to prevent XSS attacks?
使用 FromEvent RxJS 和 Angular 訂閱輸入標簽值更改時如何避免使用“任何”?
[英]How to avoid using 'any' when using FromEvent RxJS with Angular to subscribe to input tag value changes?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.