1.背景javascript
在最近angular的项目中,须要用到[innerHTML]标签来指定一个div的样式: html
1 //HTML部分 2 <div class="contents" [innerHTML]="contents"></div> 3 4 //TS部分 5 contents = '<p>商品信息栏位<br><span style="color:red;">商品信息介绍</span></p>';
可是上面的样式并不起做用,在Chorme中查看源码,发现style标签的样式在Angular编译的时候被屏蔽掉。这是为何呢?客观别急,请往下看。java
2.解决方案api
先说解决方案,最后再分析出现这种问题的缘由。修改上面的TS:安全
// 在使用的页面引入DomSanitizer
import { DomSanitizer } from '@angular/platform-browser';
//构造方法里注入sanitizer对象
constructor( private sanitizer: DomSanitizer
) { }
// 对HTML代码作处理
this.contents= this.sanitizer.bypassSecurityTrustHtml("<p>W3商品信息栏位<br><span style="color:red;">商品信息介绍</span></p>");
这样虽然能够解决问题,可是这样作还不够:优化
- 代码冗余繁杂:若是咱们的contents内容过大,这样咱们的代码就显得很乱,影响可读性和美观;
- 不能复用:若是其余ts中也要用到innerHTML标签,又要从新写一遍上面的TS内容,没有复用性;
基于以上两点,咱们用自定义管道(pipe)来优化以上代码,使用ng generate pipe safe-html命令来生成一个pipe,并作适当的修改:this
// 对safe-html.pipe.ts作适当修改
import {Pipe, PipeTransform} from '@angular/core'; import {DomSanitizer} from '@angular/platform-browser'; @Pipe({name: 'safeHtml'}) export class SafeHtmlPipe implements PipeTransform { constructor(private sanitized: DomSanitizer) { } transform(value) { return this.sanitized.bypassSecurityTrustHtml(value); } }
// 在使用innerHTML标签的属性里使用以上safeHtml管道
<div class="contents" [innerHTML]="contents|safeHtml"></div>
3.缘由及原理spa
因此,为何会出现上面的问题呢?原来,Angular中默认将全部输入值视为不受信任。当咱们经过 property,attribute,样式,类绑定或插值等方式,3d
将一个值从模板中插入到DOM中时,Angular会自帮咱们清除和转义不受信任的值。在开头的例子中,span标签里的样式被屏蔽了,不信请看:code
Angular 在编译的时候,会自动清理 HTML 输入并转义不安全的代码,所以在这种状况下,style被屏蔽,样式失效。这时候若是须要将样式片断渲染出来,
就须要用到DomSanitizer了。DomSanitizer 能够把值净化为在不一样 DOM 上下文中的安全内容,来帮咱们防范跨站脚本攻击(XSS)类的安全问题。
参考:https://angular.cn/api/platform-browser/DomSanitizer#description