ElementRef安全風險角度2

Question

爲什麼ElementRef不安全使用，如果有的話，我們可以用什麼來代替？

我一直在使用這個ElementRef來查看或觀察一個特定的html標籤，然後在初始化後以特定寬度發送，但是如果這打開了安全風險，我不會使用它，並且說實話，不明白爲什麼角色2團隊在他們的框架中允許這種安全缺陷。

什麼是安全和最好的技術使用？我的測試組件的下方：

 import { Component, OnInit } from '@angular/core'; 

     @Component({ 
      selector: 'app-standard', 
      template: ` <button type="button" #buttonW></button>`, 

     }) 
     export class standardComponent implements OnInit { 

      name: string = 'app-standard'; 
      viewWidthButton: any; 

      @ViewChild('buttonW') elButtonW: ElementRef; 


      constructor() { 

      this.viewWidthButton = this.elButtonW.nativeElement.offsetWidth; 
      console.log ('button width: ' + this.viewWidthButton); 
      } 

      ngOnInit() { 
      } 

     } 

角2頁參考：

https://angular.io/docs/ts/latest/api/core/index/ElementRef-class.html

Answer 1

使用ElementRef不會直接使您的網站的安全性較低。 Angular團隊只是說「嘿，你可以用這個，只是要小心」。

如果您只使用ElementRef至得到信息，就像您的示例中的寬度一樣，根本不存在安全風險。當您使用ElementRef至修改DOM時，情況會有所不同。那裏可能會出現潛在的威脅。這樣的例子可以是：

@ViewChild('myIdentifier') 
myIdentifier: ElementRef 

ngAfterViewInit() { 
    this.myIdentifier.nativeElement.onclick = someFunctionDefinedBySomeUser; 
} 

這裏的問題是，它被直接插入DOM，跳過角禁制機制。什麼是衛生機制？通常，如果通過Angular更改DOM中的某些內容，Angular確保它沒有危險。但是，在使用ElementRef向DOM中插入內容時，Angular不能保證這一點。所以它變成你的責任，沒有什麼不好的東西進入DOM時使用ElementRef。這裏一個重要的關鍵字是XSS（跨站腳本）。

總結：如果您爲DOM查詢信息，您是安全的。如果您使用ElementRef修改DOM，請確保修改不會包含惡意代碼。