Question

единственный способ установить URL-адрес iframe - this.domsanitizer.bypassSecurityTrustResourceUrl(url). Но инструменты статического анализа кода, такие как veracode, поднимают это как проблему высокой уязвимости, которая, я думаю, является правильной. Но есть ли способ безопасно доверять URL-адресу, как белый URL-адрес?

talhature · Answer 1 · 17 октября 2019

iframe всегда представляет угрозу безопасности, если вы не контролируете его содержимое. Просто невозможно разместить на своей странице iframe, не «обходя» какой-либо процесс очистки и не доверяя ресурсу.

Может быть, вы сможете реализовать свой собственный sanitizer и метод sanitize для своих пользовательских потребностейесли содержание URL-адреса является чем-то, вы можете точно предположить, что это такое. Это было бы более безопасно, чем просто доверять ему, и инструмент анализа тоже с этим справился бы.

Есть ли безопасный способ встраивания iframe в Angular 7?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли безопасный способ встраивания iframe в Angular 7?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы