堆棧內存溢出
  簡體   English   中英

DOM 清理 function 不是 escaping 用戶輸入的文本

[英]DOM sanitize function is not escaping the text that user entered

 原文  2022-09-06 11:38:52       javascript/ angular

問題描述

試圖使用 Angular 清理 API 與用戶在 angular 表單中輸入的用戶輸入。 但是 Angular 的Sanitize()不是 escaping 輸入的輸入。

.ts

export class AppComponent {
  userName = 'Angular';

  constructor(private domSanitizer: DomSanitizer) {}

  onSave(): void {
    console.log('save clicked api call');
    this.sanitizeUserName();
  }

  sanitizeUserName(): string {
    const domSanitize = this.domSanitizer.sanitize(1, this.userName);
    console.log('sanitized text/html', domSanitize);
    return domSanitize;
  }
}

.html

<form #userForm="ngForm">
  <label>Username: </label>
  <input type="text" [(ngModel)]="userName" name="username" />

  <div>
    <span>View : </span>
    <div [innerHTML]="userName"></div>
  </div>

  <br />
  <br />
  <button type="button" (click)="onSave()">Save</button>
</form>

請在此處找到實時示例。 component.ts中,我添加了一些示例來驗證輸入是否經過清理。

如果有人可以幫助我。

1 個解決方案

解決方案1
 0  2022-09-06 11:58:41

清理方法模型是:

 sanitize(context: SecurityContext, value: SafeValue | string | null): string | null;

和 SecurityContext model 是:

enum SecurityContext {
    NONE = 0,
    HTML = 1,
    STYLE = 2,
    SCRIPT = 3,
    URL = 4,
    RESOURCE_URL = 5
}

所以看來你應該為 SecurityContext 使用第一名

  sanitizeUserName(): string {
    const domSanitize = this.domSanitizer.sanitize(1, this.userName);
    console.log('sanitized text/html', domSanitize);
    return domSanitize;
  }

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 DOM 清理 function 不是 escaping 用戶輸入的文本 在 function 中顯示用戶在文本字段中輸入的鏈接 如何在JS函數和循環中使用文本框用戶輸入的數據 用戶輸入的值將變量轉換為文本 在用戶輸入的屏幕上分隔文本 如何清除用戶輸入的文本,以便可以在Javascript / JSON中使用它? 如何獲取值用戶輸入的html文本表單字段傳遞給javascript函數? 在DOM模型/ JavaScript中,文本框和輸入到其中的值之間是否有區別? 使用createTextNode方法附加用戶輸入的文本 在單獨的文本區域中添加用戶輸入的值
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM