我從那些可能包含來自以下服務嵌入視頻的HTML代碼API串獲得:如何檢查帶iframe的html是否安全?
- youtube.com,
- vimeo.com,
- dailymotion.com,
- prezi .COM
如果我敢肯定它是足夠安全的,我可以將它們轉換爲值得信賴的SafeHtml(繞過角的清潔劑):
this.safeHtml = this._sanitizer.bypassSecurityTrustHtml(this.htmlFromApi);
,然後把它像這樣在頁面上:
<div [innerHtml]="safeHtml"></div>
問題:
,檢查我必須執行,以確保此字符串是足夠安全? (它不包含嵌入式腳本,只會導致這四個站點之一沒有任何棘手的重定向)?
將這些網站添加到Angular的sanitizer的例外情況下有意義嗎?如果是的話怎麼做?
在此先感謝!
p.s.我看到了類似的問題:How to check if string of HTML is safe?但我希望有更新鮮的東西與角度最佳實踐相關
我的2美分。沒有什麼是真的安全。我不相信任何消息來源,但這取決於您的安全需求/限制。 –