Dostaję od strun API kodu HTML, który może zawierać osadzonych filmów z następujących usług:Jak sprawdzić, czy html z elementami iframe jest bezpieczny?
- youtube.com,
- vimeo.com,
- dailymotion.com,
- Prezi .com
Jeśli jestem pewien, że jest wystarczająco bezpieczny sposób można przekonwertować je do zaufanego SafeHtml (ominąć Sanitizer kątowej za):
this.safeHtml = this._sanitizer.bypassSecurityTrustHtml(this.htmlFromApi);
a następnie umieścić go na stronie w taki sposób:
<div [innerHtml]="safeHtml"></div>
pytania:
który sprawdza muszę wykonać, aby mieć pewność, że łańcuch jest wystarczająco bezpieczne? (nie zawiera osadzonych skryptów i prowadzi tylko do jednej z tych czterech stron bez trudnych przekierowań)?
Czy jest sens, aby dodać jakoś tych witryn do wyjątkami odkażającego kątowej za? I jak to zrobić, jeśli tak?
Z góry dziękuję!
p.s. Widziałem to podobne pytanie: How to check if string of HTML is safe? Mam jednak nadzieję, że jest coś świeższego i ważnego dla najlepszych praktyk Angulara:
moim 2 centów. nic nie jest naprawdę bezpieczne. Nie ufałbym żadnemu źródłu, ale zależy to od twoich potrzeb/ograniczeń bezpieczeństwa. –