如何將HTML注入到聚合物模板中

Question

我正在使用polymer-jsonp來執行JSONP請求，但響應有時包含html。

例如，假設post.content爲"<strong>Foo</strong> bar"，如何顯示{{post.content}}，使"Foo"爲粗體？

<polymer-element name="feed-element" attributes=""> 
    <template> 
    <template repeat="{{post in posts.feed.entry}}"> 
     <p>{{post.content}}</p> 
    </template> 
    <polymer-jsonp url="url" response="{{posts}}"></polymer-jsonp> 
    </template> 
    <script> 
    Polymer('feed-element', { 
     created: function() { }, 
     attached: function() { }, 
     detached: function() { }, 
     attributeChanged: function(attrName, oldVal, newVal) { } 
    }); 
    </script> 
</polymer-element> 

Answer 1

聚合物不會通過數據綁定標記未轉義的HTML，因爲它會成爲XSS攻擊的漏洞。

目前正在談論如何在有限的情況下對HTML進行標記，或允許進行自定義過濾，但這尚未在數據層實現。

可以使用一個額外的自定義元素來做你想做的事情，但是如果你將不可信的HTML渲染到你的頁面中，可能會發生壞事發生的可能性。

下面是一個例子，顯示了這種方法：

http://jsbin.com/durajiwo/1/edit

Answer 2

對於那些尋找聚合物1.0

<dom-module id="html-echo"> 
    <style> 
    :host { 
     display: block; 
    } 
    </style> 
    <template> 
    </template> 
</dom-module> 

<script> 
    (function() { 
    Polymer({ 
     is: 'html-echo', 
     properties: { 
     html: { 
      type: String, 
      observer: '_htmlChanged' 
     } 
     }, 
     _htmlChanged: function (neo) { 
     // WARNING: potential XSS vulnerability if `html` comes from an untrusted source 
     this.innerHTML = neo; 
     } 
    }); 
    })(); 
</script> 

Answer 3

如果你確定這是你想要做什麼，只要使用innerHTML。

_renderHtml: function(html) { 
    this.$.dynamicHtmlContainer.innerHTML = html; 
} 

或者動態地添加陰影-DOM孩子：

_renderHtml: function(html) { 
    var div = document.createElement('div'); 
    div.innerHTML = html; 
    Polymer.dom(this).appendChild(div); 
} 

我覺得Polymer.dom在聚合物2.0被刪除，但。