官方Angular Security Guide讲述了4个安全背景:HTML, Url, Style and ResourceUrl
每个人都负责消毒相应类型的资源
此外,DomSanitizer服务
- bypassSecurityTrustHtml
- bypassSecurityTrustScript
- bypassSecurityTrustStyle
- bypassSecurityTrustUrl
- bypassSecurityTrustResourceUrl
但是,我在官方文档中没有发现SecurityContext.NONE。它在代码中是does exist。
我认为它聚合了所有资源类型,这意味着被清理的资源可以是HTML,其中包含样式和脚本。
是这样的吗?任何官方消息来源?
答案 0 :(得分:2)
显然,如果我们将domSanitizer.sanitize与SecurityContext.NONE一起使用,它就不会执行任何卫生设施和will return该值。
因此,这将允许带有嵌入式URL,样式和脚本的HTML。
因此强烈建议您不要在代码中使用它。