innerHTML + bypassSecurityTrustHtml 导致节点重复渲染(innerHTML 中有多个函数时的执行顺序问题)

原创 已于 2022-03-05 07:37:11 修改 · 2.6k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#pipe
于 2020-12-26 17:08:22 首次发布
博客围绕[innerHTML]和DomSanitizer的bypassSecurityTrustHtml()搭配使用导致节点无限重复渲染的问题展开。分析了可能原因,一是bypassSecurityTrustHtml()接收参数时render方法可能后执行,二是innerHTML接收函数而非转换完成的html代码。最终利用管道进行html代码安全处理,严格控制函数执行顺序解决问题。

目录

1.问题

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

2.2 回到问题本身进行分析

3.解决

1.问题

[innerHTML] 和 DomSanitizer 的 bypassSecurityTrustHtml() 搭配使用,导致节点无限重复渲染

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 获取安全 Html代码
getSafeHtml(html): SafeHtml {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="getSafeHtml(render(row))">
</div>

2.思考

2.1 何谓 DomSanitizer?何谓 bypassSecurityTrustHtml()?

DomSanitizer:通过清理在不同 DOM上下文 中安全使用的值,来防止跨站点脚本安全漏洞(XSS)

bypassSecurityTrustHtml():是 DomSanitizer 下面的一个方法,通过接受 html代码svg图片,将他们转换为安全的值,防止出现报错

使用 innerHTML 的时候,可能会出现报错:WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).

参考博客:Angular4 绑定html内容 警告处理_xiaotuni的专栏,每天进步一点点 -CSDN博客icon-default.png?t=M1L8https://blog.csdn.net/xiaotuni/article/details/77171240

2.2 回到问题本身进行分析

可能性一:

bypassSecurityTrustHtml() 接收的参数应该是 string

此处的 bypassSecurityTrustHtml() 接受了 render(row),render() 方法返回的是 string

重点来了:render() 这个方法 可能 在 bypassSecurityTrustHtml() 之后执行

就是说 render() 还没有返回数据,bypassSecurityTrustHtml() 直接接收了的 render() 这么个空方法

导致 render() 最终在 bypassSecurityTrustHtml() 内部运行,导致重复渲染

可能性二:

innerHTML 接收到的是 getSafeHtml(render(row)) 函数,而不是一段转换完成的 html代码,导致重复渲染

总结:

[innerHTML]、getSafeHtml()、render() 执行顺序不能确定,导致了重复渲染

3.解决

利用 管道 进行 html 代码安全处理,严格控制各个函数的执行顺序

// 产生 html代码
render: (row) => {
    return `<div> ${row.rankNum) </div>`;
)

// 通过定义管道,实现获取安全的 html代码 这个功能
transform(html: string): any {
    return this.sanitizer.bypassSecurityTrustHtml(html);
}

// html 里使用 innerHTML
<div class="header-td"
    [innerHTML]="render(row) | safeHtml">
</div>

执行顺序:

  • 先由 render(row) 生成 html代码
  • 再进入管道处理
  • 最后交由 [innerHTML] 插入节点

Angular中innerHTML标签的样式不起作用的原因解析
10-16
主要介绍了Angular中innerHTML标签的样式不起作用详解 ,本文给出了解决方案,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
html代码过滤器,angular2项目中html代码被安全过滤器筛掉的问题
weixin_34351588的博客
06-10 427
16.12.23 安全过滤器需要渲染的代码如下:3–√对比使用[innerHtml]指令与原生innerHtml:解决方法:使用ng2服务DomSanitizer中的bypassSecurityTrustHtml方法具体操作:使用pipe过滤器进行封装。import { DomSanitizer } from '@angular/platform-browser';import { Pipe, P...
angular5绑定html,Angular4绑定html内容出现警告的处理方法
weixin_28731223的博客
07-01 225
前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是。但是最近在Angular4绑定html内容的候出现了警告,通过查找相关资料终于解决了,下面给同样遇到这个问题的朋友们分享下,话不多说了,来一起看看详细的介绍吧...
前端如何安全的渲染HTML字符串?
Z__7Gk的博客
08-18 4415
在现代的Web 应用中,动态生成和渲染 HTML 字符串是很常见的需求。然而,不正确地渲染HTML字符串可能会导致安全漏洞,例如跨站脚本攻击(XSS)。为了确保应用的安全性,我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践,以帮助你有效地避免潜在的安全风险。
angular2中DomSanitizer的5种用法记录
涂涂
01-08 1万+
1.Cross-site scripting (跨站脚本) 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发留下的漏洞,通过巧妙的方法注入恶意指令代码到网页
angular7中防范跨站脚本(XSS)攻击的信任安全值得使用
yw00yw的博客
07-03 1804
信任安全值 有候,应用程序确实需要包含可执行的代码,比如使用 URL 显示 ,或者构造出有潜在危险的 URL。 为了防止在这种情况下被自动无害化,你可以告诉 Angular:我已经审查了这个值,检查了它是怎么生成的,并确信它总是安全的。 但是千万要小心!如果你信任了一个可能是恶意的值,就会在应用中引入一个安全漏洞。如果你有疑问,请找一个安全专家复查下。 注入 DomSanitizer 服务,然后...
Angular中Leaflet弹窗服务设计:解耦渲染与交互的治理层
最新发布
an4455的博客
06-21 438
在Web地理信息系统开发中,地图弹窗作为核心交互组件,其内容动态性、事件响应性与跨组件复用性直接影响应用稳定性与可维护性。基于Angular声明式数据流与Leaflet原生DOM操作的架构差异,直接调用bindPopup易引发状态不同步、逻辑耦合及测试困难等典型问题。通过构建独立的Popup Service,实现模板解析、绑定策略与事件总线三层抽象,既保障了Angular变更检测兼容性,又延续了Leaflet轻量高效特性。该方案广泛适用于物流调度、智慧园区、GeoJSON行政区划等需高频弹窗交互的企业级场景
angular7中渲染html数据,解决样式无效问题
yw00yw的博客
08-23 3213
在angular项目中,往页面上渲染html数据的候,使用的是[innerHTML]来渲染,一般渲染富文本中的Html数据,比如新闻详情之类。但是发现,渲染之后,没有了行内样式。解决方法如下: 在app下新建管道文件 ng g pipe pipes/html 在HtmlPipe管道中,写入如下代码: import { Pipe, PipeTransform } from '@angular/...
Angular4 绑定html内容 警告处理
热门推荐
xiaotuni的专栏,每天进步一点点
08-14 1万+
绑定html内容如果用正常的方法去绑定的话,可能会出再这种警告<div [innerHTML]="Catcha" ></div> --------------------------------------- WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).而且页面上也显示不出东西来
Vue render函数渲染html标签(v-html || innerHtml)jsx写法
qq_42894952的博客
11-11 9698
render(h,data) { return h("div", { domProps: { innerHTML: data.row.instanceExeParams // 这里是要渲染的数据 } }) } // 用jsx写法(domPropsInnerHtml) <span domPropsInnerHtml={data.row.instanceExeParams}></span> ...
angular4 编译html,Angular4绑定html内容出现警告的处理方法
weixin_33281940的博客
06-25 316
Angular4绑定html内容出现警告的处理方法2019-01-07编程之家https://www.jb51.cc编程之家收集整理的这篇文章主要介绍了Angular4绑定html内容出现警告的处理方法,编程之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管...
html方法标签不起作用,Angular中innerHTML标签的样式不起作用的原因解析
weixin_34005394的博客
06-28 1551
1.背景在最近angular的项目中,需要用到[innerHTML]标签来指定一个div的样式://HTML部分//TS部分contents = '商品信息栏位商品信息介绍';但是上面的样式并不起作用,在Chorme中查看源码,发现style标签的样式在Angular编译的候被屏蔽掉。这是为什么呢?客观别急,请往下看。2.解决方案先说解决方案,最后再分析出现这种问题的原因。修改上面的TS:// ...
angular4 html转义,Angular4绑定html内容出现警告的处理方法
weixin_42299140的博客
06-22 260
前言众所周知在Web前端开发中,我们经常会遇见需要动态的将一些来自后端或者是动态拼接的HTML字符串绑定到页面DOM显示,特别是在内容管理系统(CMS:是Content Management System的缩写),这样的需求,更是遍地皆是。但是最近在Angular4绑定html内容的候出现了警告,通过查找相关资料终于解决了,下面给同样遇到这个问题的朋友们分享下,话不多说了,来一起看看详细的介绍吧...
Angular:解决innerHTML绑定页面内容,sanitizing HTML stripped some content警告处理和富文本背景色样式无法正常显示的问题
灿灿大王搭建的黄金屋
07-17 1915
背景:在系统中使用quill富文本编辑器,使用的版本是ngx-quill@4.0.0,具体使用方法参见我的另一篇博客 Angular:ngx-quill富文本编辑器的使用(地址:https://blog.csdn.net/qq_36451496/article/details/88971422) 其中用富文本编辑好的表单内容这样在页面上展示: <div nz-col [nzSpa...
JavaScript中innerHTML和innerText使用及简单的函数定义与调用
weixin_45967030的博客
04-25 2447
1.任何标签都有这俩个属性innerHTML innerText 都表示设置标签的文本内容。 如何动态给span标签或者div块标签等等添加文本内容呢? 要使用dom操作 1)给标签设置id属性 通过一个固定的语法:获取id="属性值"的标签对 var 标签对象 = docuement.getElementBy...
angular使用[innerHTML]样式不生效
qq_15509267的博客
07-08 4068
一、问题描述 使用[innerHTML]向angular的模板中添加模板,被添加模板中的css样式不生效。 二、详细介绍 【1】需要根据数据模型动态创建表格的表头(部分代码如下): //模板 .../ <td [innerHTML]="col.render?col.render(item[col.key],col.key,i,item):item[col.key]">&l...
Ionic4--iframe遇到的问题
吕阿蒙的博客
07-15 1181
遇到一个问题:iframe加载一个html一直报错,Error: Eequired a safe ResourceURL,got a HTML 解决办法:引入“DomSanitizer” 具体实现: import { DomSanitizer } from "@angular/platform-browser"; constructor(private sanitizer: ...
reacrt后端返回html怎么转,angular2 显示后端返回的html 安全转换
weixin_34657323的博客
06-09 211
1、上传文件回显缩略图(change)="sendImg($event)"/>sendImg(event) {let url = window.URL.createObjectURL(event.srcElement.files[0]);}// 获取到一个不安全的临图片链接地址2、在angular2中使用,定义管道,过滤import { Pipe,PipeTransform, Securi...
纯前端如何实现搜索关键字功能,且为搜索关键字添加颜色
呆萌小菜鸟的博客
01-24 1914
菜鸟随记
拿到旧版本的 Angular 项目运行遇到的问题:cli 是 10.xx 版本,core 包是 8.0 版本
Lyrelion的博客
11-10 4180
拿到旧版本的 Angular 项目运行遇到的问题:cli 是 10.xx 版本,core 包是 8.0 版本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyrelion

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值