javascript - 有没有一种在 Angular 7 中嵌入 iframe 的安全方法?
问题描述
设置 iframe url 的唯一方法是通过this.domsanitizer.bypassSecurityTrustResourceUrl(url). 但是像 veracode 这样的静态代码分析工具将此作为一个高漏洞问题提出来,我认为这是正确的。但是有没有办法像白名单一样安全地信任 url?
解决方案
如果您不控制 iframe 的内容,则 iframe 始终存在安全风险。如果不“绕过”一些清理过程并信任资源,根本无法在您的页面中拥有 iframe。
如果 url 的内容是您可以精确假设的内容,也许您可以根据您的自定义需求实现自己的sanitizer和 sanitize 方法。这将比仅仅信任它更安全,并且分析工具也可以这样做。
推荐阅读
- metadata - 从自动查询元数据中隐藏类型
- python - 使用 for 循环出现意外的 KeyError,但手动时没有
- angular - 如果我将鼠标悬停在 Plotly 中,如何显示与图例中所述不同的跟踪名称?
- mysql - mysql.createpool 函数是同步的还是异步的?
- latex - 如何在 Latex 中编写内联矩阵
- powershell - 如何从 PowerShell (v5.1) 中的数组中删除项目
- mysql - 检查删除是否删除所有表值的触发器
- ruby-on-rails - .where 方法不理解 Date 对象
- reactjs - 自定义将行从具有分页的 ag-grid 导出到 CSV (ReactJS)
- docker - 使用 docker 在不同的端口上运行 Vue.js 应用程序