সতর্কতা: অনিরাপদ শৈলীর মান url স্যানিটাইজ করা

আমি আমার কৌনিক 2 অ্যাপ্লিকেশনে একটি উপাদান টেম্পলেটে একটি ডিআইভির পটভূমি চিত্রটি সেট করতে চাই। তবে আমি আমার কনসোলে নিম্নলিখিত সতর্কতাটি পেয়ে যাচ্ছি এবং আমি পছন্দসই প্রভাব পাচ্ছি না ... অ্যাঙ্গুলার 2 এর সুরক্ষা বিধিনিষেধের কারণে গতিশীল সিএসএস ব্যাকগ্রাউন্ড চিত্রটি ব্লক করা হয়েছে বা আমার এইচটিএমএল টেমপ্লেটটি নষ্ট হয়ে গেছে কিনা তা সম্পর্কে আমি নিশ্চিত।

এটি আমার কনসোলে আমি সতর্কতাটি দেখছি (আমি আমার ইমগ url এতে পরিবর্তন করেছি /img/path/is/correct.png:

সতর্কতা: অনিরাপদ শৈলীর মান url স্যানিটাইজ করা (SafeValue অবশ্যই [সম্পত্তি] = বাইন্ডিং ব্যবহার করতে হবে: /img/path/is/correct.png (দেখুন http://g.co/ng/ সুরক্ষা #xss )) (দেখুন http: // g.co/ng/ সুরক্ষা#xss )।

জিনিসটি হ'ল আমি আমার টেম্পলেটটিতে DomSanitizationServiceইনজুলার 2 ব্যবহার করে যা সারণি করে তা স্যানিটাইজ করি । এখানে আমার এইচটিএমএলটি আমার টেম্পলেটটিতে রয়েছে:

<div>
    <div>
        <div class="header"
             *ngIf="image"
             [style.background-image]="'url(' + image + ')'">
        </div>

        <div class="zone">
            <div>
                <div>
                    <h1 [innerHTML]="header"></h1>
                </div>
                <div class="zone__content">
                    <p
                       *ngFor="let contentSegment of content"
                       [innerHTML]="contentSegment"></p>
                </div>
            </div>
        </div>
    </div>
</div>

এই উপাদানটি এখানে ...

Import {
    DomSanitizationService,
    SafeHtml,
    SafeUrl,
    SafeStyle
} from '@angular/platform-browser';

@Component({
               selector: 'example',
               templateUrl: 'src/content/example.component.html'
           })
export class CardComponent implements OnChanges {

    public header:SafeHtml;
    public content:SafeHtml[];
    public image:SafeStyle;
    public isActive:boolean;
    public isExtended:boolean;

    constructor(private sanitization:DomSanitizationService) {
    }

    ngOnChanges():void {
        map(this.element, this);

        function map(element:Card, instance:CardComponent):void {
            if (element) {
                instance.header = instance.sanitization.bypassSecurityTrustHtml(element.header);

                instance.content = _.map(instance.element.content, (input:string):SafeHtml => {
                    return instance.sanitization.bypassSecurityTrustHtml(input);
                });

                if (element.image) {
                    /* Here is the problem... I have also used bypassSecurityTrustUrl */ 
                    instance.image = instance.sanitization.bypassSecurityTrustStyle(element.image);
                } else {
                    instance.image = null;
                }

            }
        }
    }
}

দয়া করে মনে রাখবেন যে আমি যখন [src] = "চিত্র" ব্যবহার করে কেবলমাত্র টেমপ্লেটের সাথে আবদ্ধ থাকি:

<div *ngIf="image">
    <img [src]="image">
</div>

এবং সমস্ত কিছু imageব্যবহার করে উত্তীর্ণ হয়েছে bypassSecurityTrustUrlযা ভালভাবে কাজ করেছে বলে মনে হচ্ছে ... কেউ কী দেখতে পাচ্ছে যে আমি কী ভুল করছি?

আপনাকে পুরো urlবিবৃতিটি এতে মুড়ে ফেলতে হবে bypassSecurityTrustStyle:

<div class="header" *ngIf="image" [style.background-image]="image"></div>

ধগফদ

this.image = this.sanitization.bypassSecurityTrustStyle(`url(${element.image})`);

অন্যথায় এটি কোনও বৈধ শৈলীর সম্পত্তি হিসাবে দেখা হয় না

ব্যবহার করুন <div [ngStyle]="{'background-image':'url('+imageUrl+')'}"></div>এই আমার জন্য সমস্যার সমাধান।

লিনিয়ার-গ্রেডিয়েন্ট সহ পটভূমি চিত্র ( *ngFor)

দেখুন:

<div [style.background-image]="getBackground(trendingEntity.img)" class="trending-content">
</div>

ক্লাস:

import { DomSanitizer, SafeResourceUrl, SafeUrl } from '@angular/platform-browser';

constructor(private _sanitizer: DomSanitizer) {}

getBackground(image) {
    return this._sanitizer.bypassSecurityTrustStyle(`linear-gradient(rgba(29, 29, 29, 0), rgba(16, 16, 23, 0.5)), url(${image})`);
}

Angular2: ব্যবহারের জন্য এই সহজ পাইপটি পরীক্ষা করুন

1. মধ্যে SafePipeকোড, প্রতিস্থাপন DomSanitizationServiceসঙ্গেDomSanitizer

2. SafePipeযদি আপনার প্রদানNgModule

3. <div [style.background-image]="'url(' + your_property + ')' | safe: 'style'"></div>

Https://angular.io/api/platform-browser/DomSanitizer এর ডকগুলির উপর ভিত্তি করে , এটি করার সঠিক উপায়টি স্যানিটাইজ ব্যবহার করা বলে মনে হচ্ছে। কমপক্ষে কৌণিক 7 এ (এটি আগে থেকে পরিবর্তিত হয়েছে কিনা তা জানেন না)। এটি আমার পক্ষে কাজ করেছে:

import { Component, OnInit, Input, SecurityContext } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';

constructor(
    private sanitizer: DomSanitizer
) { }

this.sanitizer.sanitize(SecurityContext.STYLE, 'url(' + this.image + ')');

সিকিউরিটি কনটেক্সট, https://angular.io/api/core/SecurityContext দেখুন । মূলত এটি কেবল এই এনাম:

enum SecurityContext {
  NONE: 0
  HTML: 1
  STYLE: 2
  SCRIPT: 3
  URL: 4
  RESOURCE_URL: 5
}

Ang. ইনগুলার Image এ চিত্র ট্যাগে গতিশীল url যুক্ত করার সময় আমি একই সমস্যা পেয়েছি I আমি অনেকগুলি অনুসন্ধান করে এই সমাধানটি পেয়েছি।

প্রথমে উপাদান ফাইলটিতে কোড লিখুন।

constructor(private sanitizer: DomSanitizer) {}
public getSantizeUrl(url : string) {
    return this.sanitizer.bypassSecurityTrustUrl(url);
}

এখন আপনার এইচটিএমএল ইমেজ ট্যাগে আপনি এটি লিখতে পারেন।

<img class="image-holder" [src]=getSantizeUrl(item.imageUrl) />

আপনি আইটেম.ইমিজআরএল পরিবর্তে আপনার প্রয়োজন অনুযায়ী লিখতে পারেন

আমি এই সাইট থেকে একটি রেফারেন্স পেয়েছি। গতিশীল url । আশা করি এই সমাধান আপনাকে সহায়তা করবে :)

কেবলমাত্র স্যানিটাইজড কিছু থাকলে এই সতর্কতাটি মুদ্রণের জন্য একটি উন্মুক্ত সমস্যা রয়েছে: https://github.com/angular/angular/pull/10272

যখন কিছুই স্যানিটাইজ করা হয়নি তখন এই সতর্কতাটি মুদ্রিত হয় তখন আমি বিশদে পড়িনি।

যে কেউ ইতিমধ্যে সতর্কবাণীটি আপনাকে যা করতে পরামর্শ দেয় সেভাবে যা করছে, অ্যাঙ্গুলার 5 এ আপগ্রেড করার আগে আমাকে টেমপ্লেটগুলিতে ব্যবহার SafeStyleকরার stringআগে আমার প্রকারের মানচিত্র তৈরি করতে হয়েছিল। কৌণিক 5 পরে, এখন আর এটি হয় না। এর image: SafeStyleপরিবর্তে আমার মডেলগুলি পরিবর্তন করতে হয়েছিল image: string। আমি ইতিমধ্যে [style.background-image]সম্পত্তির বাইন্ডিংটি ব্যবহার করে পুরো url এ সুরক্ষা বাইপাস করেছিলাম ।

আশা করি এটি কাউকে সাহায্য করবে।

যেহেতু অ্যাঙ্গুলার কোনও উত্সর্গীকৃত স্যানিটাইজিং লাইব্রেরি নয়, কোনও ঝুঁকি না নেওয়ার জন্য সন্দেহজনক বিষয়বস্তুর প্রতি এটি অত্যধিক alousর্ষান্বিত। আপনি কোনও ডেডিকেটেড লাইব্রেরিতে স্যানিটাইজিং প্রতিনিধিত্ব করতে পারেন, উদাহরণস্বরূপ - DOMPurify। এখানে কৌণিক দিয়ে সহজেই ডোমপুরিফাই ব্যবহার করতে আমি তৈরি করেছি একটি মোড়কের লাইব্রেরি।

https://github.com/TinkoffCreditSystems/ng-dompurify

এটিতে এইচটিএমএলকে ঘোষণাযুক্তভাবে স্যানিটাইজ করার জন্য একটি পাইপ রয়েছে:

<div [innerHtml]="value | dompurify"></div>

একটি জিনিস মনে রাখতে হবে, ডুমামপুরিফাই এইচটিএমএল / এসভিজি স্যানিটাইজ করার জন্য দুর্দান্ত তবে সিএসএস নয়। সুতরাং আপনি সিএসএস হ্যান্ডেল করতে অ্যাঙ্গুলারের সিএসএস স্যানিটাইজার সরবরাহ করতে পারেন:

import {NgModule, ɵ_sanitizeStyle} from '@angular/core';
import {SANITIZE_STYLE} from '@tinkoff/ng-dompurify';

@NgModule({
    // ...
    providers: [
        {
            provide: SANITIZE_STYLE,
            useValue: ɵ_sanitizeStyle,
        },
    ],
    // ...
})
export class AppModule {}

এটি অভ্যন্তরীণ - হেনস ɵউপসর্গ, তবে কৌণিক দল যেমনভাবে তাদের নিজস্ব প্যাকেজগুলিতে এটি ব্যবহার করে।

আমার ক্ষেত্রে, আমি ডিসপ্লে উপাদানটি পাওয়ার আগে চিত্রটির URL পেয়েছিলাম এবং এটি ব্যাকগ্রাউন্ড চিত্র হিসাবে ব্যবহার করতে চাই তাই সেই URL টি ব্যবহার করার জন্য আমাকে কৌনিকটি বলতে হবে যে এটি নিরাপদ এবং ব্যবহার করা যেতে পারে।

.Ts ফাইলে

userImage: SafeStyle;
ngOnInit(){
    this.userImage = this.sanitizer.bypassSecurityTrustStyle('url(' + sessionStorage.getItem("IMAGE") + ')');
}

.Html ফাইলে

<div mat-card-avatar class="nav-header-image" [style.background-image]="userImage"></div>