Кто-нибудь знает, почему sanitizerPolicy, применяемый B2 C, не имеет атрибута for, перечисленного в списке allowedAttributes, или есть ли возможность изменить политику? Я не могу думать о какой-либо реальной уязвимости, допускающей использование этого атрибута, но вместо этого он удаляется с помощью HTML очистки HTML, полученной из пользовательского источника пользовательского интерфейса. В sanitizerPolicy содержится очень мало документации.
sanitizerPolicy - это сложное свойство, содержащееся в объекте SETTINGS JavaScript, который внедряется платформой Expression (то есть самой B2 C) в пользовательский интерфейс B2 C и используется при загрузке удаленного содержимого (например, пользовательского интерфейса HTML и CSS) для определенного определения содержимого c. Затем введенные настройки применяются функциями JavaScript (например, sanitize HTML), которые также вводятся по умолчанию в Expression Framework. Функции и настройки используются для ограничения HTML, обслуживаемого удаленным источником (через свойство LoadUri ContentDefinition в Expression Framework). Документов по этому вопросу практически нет или нет, поэтому никакие полезные ссылки не могут быть предоставлены
Текущий массив allowedAttribute в sanitizerPolicy выглядит следующим образом: ['id', 'class', 'href', 'name', 'data-*', 'aria-*', 'type', 'lang', 'src', 'sizes', 'role', 'placeholder', 'title', 'width', 'height', 'style']
Контекст: Мой вариант использования является то, что я хотел бы, чтобы политика паролей переключалась исключительно в CSS, которая использует скрытый флажок и метку, привязанную к флажку с помощью атрибута for, но, увы, без привязки, поскольку атрибут for удален из Элемент label от sanizterPolicy после рендеринга моего пользовательского интерфейса.
Существует закрыто GitHub проблема , связанная с запросом на добавление соответствующей документации по этой функциональности. Местоположение этой документации неизвестно, равно как и ссылки на другие открытые задачи для доставки не указаны.