У меня следующий код. Первый случай (URL) в методе преобразования - это очистить URL. Мне это нужно, потому что мне нужно отобразить URL для вызова отчета SSRS.
Тогда у меня есть богатый редактор в моем угловом приложении. Так что мой пользователь может создавать комментарии, которые сохраняются в HTML-код в базе данных. Поэтому я хочу отобразить комментарии, представленные в HTML-теге div в Angular. Но я хочу быть уверенным, что нет возможности проводить XSS-атаки. Поэтому, если я использую этот код в канале Angular, буду ли я защищен от атак XSS или нет и будут ли отображаться другие HTML-теги? Я не понимаю официальную документацию об этом в Angular (https://angular.io/api/platform-browser/DomSanitizer, https://angular.io/api/core/SecurityContext)
transform(html: any, type: string) {
let santizedHTML;
switch (type) {
case "URL": {
santizedHTML = this.sanitizer.sanitize(SecurityContext.URL, html);
return this.sanitizer.bypassSecurityTrustResourceUrl(santizedHTML);
break;
}
case "HTML": {
santizedHTML = this.sanitizer.sanitize(SecurityContext.HTML, html);
return this.sanitizer.bypassSecurityTrustResourceUrl(santizedHTML);
break;
}
}
}