javascript - Angular 应用程序中 <object> 标签的安全错误

标签 javascript angular security object typescript

我正在添加带有标签的新 HTML 页面。

<object *ngIf='displayUrl' resize-to-tile type="text/html" 
        [attr.data]="displayUrl" >
</object>



  this.displayUrl = this.sanitizer.bypassSecurityTrustResourceUrl(this.parameters.items.data.params.items[0].value);

但是我有下一个错误:

SafeValue must use [property]=binding: undefined (see http://g.co/ng/security#xss) SafeValue must use [property]=binding: undefined (see http://g.co/ng/security#xss)

我该如何解决?

最佳答案

删除 attr. 

[data]="displayUrl" >

bypassSecurityXxx 返回的值被包裹在一个类中。
属性绑定(bind)仅支持字符串值,因此 [attr.xxx]破坏 sanitizer 。

<object>元素有一个 data属性(property),因此 attr.无论如何都不需要https://developer.mozilla.org/en-US/docs/Web/API/HTMLObjectElement

关于javascript - Angular 应用程序中 <object> 标签的安全错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45350082/

上一篇:javascript - 如何遍历一个对象一次给我 5 个项目?

下一篇:javascript - 简单练习函数显示NaN

相关文章:

javascript - 将字符串与正则表达式匹配会给出 null,即使它应该匹配

json - 如何从 typescript 中的json响应中获取日期对象

firefox - Angular 2 + firefox + input + type=date datepicker 不显示

angular - EventTarget 无法访问 classList

security - 读取操作系统(Linux 和 MAC)环境变量,以不以 9 的角度公开后端 IP 和凭据

java - GWT::在客户端的单个位置处理服务器错误

security - 网站登录: how should user credentials be sent to the server for verification?

javascript - JS 和 GWT/smartGWT

javascript - 有多个具有相同属性(类、类型、值等)的按钮,它们在调用时可以 "point out"其父 DIV?

Javascript 数组、对象、日期未定义

©2024 IT工具网  联系我们