使用Angular和Phonegap,我正在尝试加载远程服务器上的视频,但遇到了一个问题。在我的JSON中,URL作为纯HTTP URL输入。
"src" : "http://www.somesite.com/myvideo.mp4"
我的视频模板
<video controls poster="img/poster.png">
<source ng-src="{{object.src}}" type="video/mp4"/>
</video>
我的所有其他数据都已加载,但当我查看我的控制台时,我收到此错误:
Error: [$interpolate:interr] Can't interpolate: {{object.src}}
Error: [$sce:insecurl] Blocked loading resource from url not allowed by $sceDelegate policy. URL
我尝试在配置设置中添加$compileProvider,但它没有解决我的问题。
$compileProvider.aHrefSanitizationWhitelist(/^\s*(https?|ftp|mailto|file|tel):/);
我看到了this post about cross domain issue但我不知道如何解决这个问题或我应该采取什么方向。有什么想法吗?任何帮助表示赞赏
答案 0 :(得分:265)
这是唯一对我有用的解决方案:
var app = angular.module('plunker', ['ngSanitize']);
app.controller('MainCtrl', function($scope, $sce) {
$scope.trustSrc = function(src) {
return $sce.trustAsResourceUrl(src);
}
$scope.movie = {src:"http://www.youtube.com/embed/Lx7ycjC8qjE", title:"Egghead.io AngularJS Binding"};
});
然后在iframe中:
<iframe class="youtube-player" type="text/html" width="640" height="385" ng-src="{{trustSrc(movie.src)}}" allowfullscreen frameborder="0">
答案 1 :(得分:265)
另一个简单的解决方案是创建一个过滤器:
app.filter('trusted', ['$sce', function ($sce) {
return function(url) {
return $sce.trustAsResourceUrl(url);
};
}]);
然后在ng-src中指定过滤器:
<video controls poster="img/poster.png">
<source ng-src="{{object.src | trusted}}" type="video/mp4"/>
</video>
答案 2 :(得分:74)
这是由Angular 1.2中实施的新安全策略引起的。它通过阻止黑客拨出(即向外部URL发出请求,可能包含有效负载)使XSS变得更难。
要正确使用它,您需要将要允许的域列入白名单,如下所示:
angular.module('myApp',['ngSanitize']).config(function($sceDelegateProvider) {
$sceDelegateProvider.resourceUrlWhitelist([
// Allow same origin resource loads.
'self',
// Allow loading from our assets domain. Notice the difference between * and **.
'http://srv*.assets.example.com/**'
]);
// The blacklist overrides the whitelist so the open redirect here is blocked.
$sceDelegateProvider.resourceUrlBlacklist([
'http://myapp.example.com/clickThru**'
]);
});
此示例取自您可以在此处阅读的文档:
https://docs.angularjs.org/api/ng/provider/$sceDelegateProvider
请务必在您的应用中加入ngSanitize以使其发挥作用。
如果你想关闭这个有用的功能,并且你确定你的数据是安全的,你可以简单地允许**,如下所示:
angular.module('app').config(function($sceDelegateProvider) {
$sceDelegateProvider.resourceUrlWhitelist(['**']);
});
答案 3 :(得分:20)
这里有同样的问题。我需要绑定到Youtube链接。对我来说有用的是全局解决方案,就是将以下内容添加到我的配置中:
.config(['$routeProvider', '$sceDelegateProvider',
function ($routeProvider, $sceDelegateProvider) {
$sceDelegateProvider.resourceUrlWhitelist(['self', new RegExp('^(http[s]?):\/\/(w{3}.)?youtube\.com/.+$')]);
}]);
添加&#39; self&#39; 非常重要 - 否则将无法绑定到任何网址。来自angular docs
&#39;自&#39; - 特殊字符串&#39; self&#39;可用于匹配所有字符串 与使用相同域的应用程序文档相同的域的URL 协议
有了这个,我现在能够直接绑定到任何Youtube链接。
您显然必须根据自己的需要自定义正则表达式。希望它有所帮助!
答案 4 :(得分:4)
解决此问题的最佳和简单的解决方案是从控制器中的此函数传递数据。
$scope.trustSrcurl = function(data)
{
return $sce.trustAsResourceUrl(data);
}
在html页面
<iframe class="youtube-player" type="text/html" width="640" height="385" ng-src="{{trustSrcurl(video.src)}}" allowfullscreen frameborder="0"></iframe>
答案 5 :(得分:2)
我使用Videogular遇到了同样的问题。使用ng-src时我得到以下内容:
Error: [$interpolate:interr] Can't interpolate: {{url}}
Error: [$sce:insecurl] Blocked loading resource from url not allowed by $sceDelegate policy
我通过编写基本指令修复了问题:
angular.module('app').directive('dynamicUrl', function () {
return {
restrict: 'A',
link: function postLink(scope, element, attrs) {
element.attr('src', scope.content.fullUrl);
}
};
});
html:
<div videogular vg-width="200" vg-height="300" vg-theme="config.theme">
<video class='videoPlayer' controls preload='none'>
<source dynamic-url src='' type='{{ content.mimeType }}'>
</video>
</div>
答案 6 :(得分:2)
如果有人在寻找TypeScript解决方案:
.ts文件(在适用的情况下更改变量):
module App.Filters {
export class trustedResource {
static $inject:string[] = ['$sce'];
static filter($sce:ng.ISCEService) {
return (value) => {
return $sce.trustAsResourceUrl(value)
};
}
}
}
filters.filter('trustedResource', App.Filters.trusted.filter);
<强> HTML
<video controls ng-if="HeaderVideoUrl != null">
<source ng-src="{{HeaderVideoUrl | trustedResource}}" type="video/mp4"/>
</video>
答案 7 :(得分:1)
根据错误消息,您的问题似乎与插值(通常是您的表达式{{}})有关,而不是与跨域问题有关。基本上ng-src="{{object.src}}"很糟糕。
ng-src设计时考虑了img标记IMO。它可能不适合<source>。见http://docs.angularjs.org/api/ng.directive:ngSrc
如果您声明<source src="somesite.com/myvideo.mp4"; type="video/mp4"/>,它会正常工作,对吧? (请注意,我移除ng-src以支持src)如果不是,则必须先修复它。
然后确保{{object.src}}返回预期值(<video>之外的 ):
<span>{{object.src}}</span>
<video>...</video>
如果它返回预期值,则以下语句应该起作用:
<source src="{{object.src}}"; type="video/mp4"/> //src instead of ng-src
答案 8 :(得分:0)
我在测试中遇到此错误,指令can_access?不受信任,但仅针对规范,因此我添加了模板目录:
templateUrl我的主目录是beforeEach(angular.mock.module('app.templates'));
。