Estoy trabajando en un tutorial que involucra la configuración de un iframe srcatributo:
<iframe width="100%" height="300" src="{{video.url}}"></iframe>
Esto arroja una excepción:
Error: unsafe value used in a resource URL context
at DomSanitizationServiceImpl.sanitize...
Ya he intentado usar enlaces [src]sin éxito.
Respuestas:
Actualización v8
¡Las respuestas a continuación funcionan pero exponen su aplicación a riesgos de seguridad XSS! . En lugar de usar this.sanitizer.bypassSecurityTrustResourceUrl(url), se recomienda usarthis.sanitizer.sanitize(SecurityContext.URL, url)
Actualizar
Para la versión RC.6 ^ use DomSanitizer
Y una buena opción es usar tubería pura para eso:
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer} from '@angular/platform-browser';
@Pipe({ name: 'safe' })
export class SafePipe implements PipeTransform {
constructor(private sanitizer: DomSanitizer) {}
transform(url) {
return this.sanitizer.bypassSecurityTrustResourceUrl(url);
}
} recuerde agregar su nuevo SafePipea la declarationsmatriz de AppModule. ( como se ve en la documentación )
@NgModule({
declarations : [
...
SafePipe
],
})html
<iframe width="100%" height="300" [src]="url | safe"></iframe>Si usa la embedetiqueta, esto podría ser interesante para usted:
Versión anterior RC.5
Puede aprovechar DomSanitizationServiceasí:
export class YourComponent {
url: SafeResourceUrl;
constructor(sanitizer: DomSanitizationService) {
this.url = sanitizer.bypassSecurityTrustResourceUrl('your url');
}
}Y luego únete a urltu plantilla:
<iframe width="100%" height="300" [src]="url"></iframe>No olvide agregar las siguientes importaciones:
import { SafeResourceUrl, DomSanitizationService } from '@angular/platform-browser';Pipe({ name: 'safe' }) export class SafePipe implements PipeTransform { constructor(private sanitizer: DomSanitizer) {} transform(url): any { return this.sanitizer.bypassSecurityTrustResourceUrl(url); } } y en plantilla llamo <iframe width="100%" height="315" src="{{url}} | safe" frameborder="0" allowfullscreen></iframe>. Pero no funciona con el error 'valor inseguro'. Por favor ayuda
[src]="url | safe"Solo quite los corchetes
this.sanitizer.sanitize(SecurityContext.URL, url)me sale un error "Error de ERROR: valor inseguro utilizado en un contexto de URL de recurso" II lo cambio para que this.sanitizer.bypassSecurityTrustResourceUrl(url)funcione bien. ¿Alguna idea de lo que puede estar mal?
this.sanitizer.sanitize(SecurityContext.URL, url)no funciona y this.sanitizer.bypassSecurityTrustResourceUrl(url)funciona, pero plantea un problema de vulnerabilidad de alta seguridad en el análisis de código estático, lo que me impide pasar esto a producción. Necesito una manera de arreglar esto
Esta funciona para mí.
import { Component,Input,OnInit} from '@angular/core';
import {DomSanitizer,SafeResourceUrl,} from '@angular/platform-browser';
@Component({
moduleId: module.id,
selector: 'player',
templateUrl: './player.component.html',
styleUrls:['./player.component.scss'],
})
export class PlayerComponent implements OnInit{
@Input()
id:string;
url: SafeResourceUrl;
constructor (public sanitizer:DomSanitizer) {
}
ngOnInit() {
this.url = this.sanitizer.bypassSecurityTrustResourceUrl(this.id);
}
}Esto me funciona a Angular 5.2.0
sarasa.Component.ts
import { Component, OnInit, Input } from '@angular/core';
import { DomSanitizer, SafeResourceUrl } from '@angular/platform-browser';
@Component({
selector: 'app-sarasa',
templateUrl: './sarasa.component.html',
styleUrls: ['./sarasa.component.scss']
})
export class Sarasa implements OnInit {
@Input()
url: string = "https://www.mmlpqtpkasjdashdjahd.com";
urlSafe: SafeResourceUrl;
constructor(public sanitizer: DomSanitizer) { }
ngOnInit() {
this.urlSafe= this.sanitizer.bypassSecurityTrustResourceUrl(this.url);
}
}
sarasa.Component.html
<iframe width="100%" height="100%" frameBorder="0" [src]="urlSafe"></iframe>
¡¡¡eso es todo amigos!!!
constructor(
public sanitizer: DomSanitizer, ) {
}
Había estado luchando por 4 horas. El problema estaba en la etiqueta img. Cuando usa corchetes para 'src', por ejemplo: [src]. no puede usar esta expresión angular {{}}. solo das directamente de un ejemplo de objeto a continuación. si le das una expresión angular {{}}. Obtendrá un error de interpolación.
primero usé ngFor para iterar los países
*ngFor="let country of countries"
segundo pones esto en la etiqueta img. eso es todo.
<img [src]="sanitizer.bypassSecurityTrustResourceUrl(country.flag)"
height="20" width="20" alt=""/>
También me encontré con este problema, pero para usar una tubería segura en mi módulo angular, instalé el paquete npm safe-pipe, que puedes encontrar aquí . Para su información, esto funcionó en Angular 9.1.3, no lo he probado en ninguna otra versión de Angular. Así es como lo agrega paso a paso:
Instale el paquete a través de npm install safe-pipe o hilo agregue safe-pipe. Esto almacenará una referencia a él en sus dependencias en el archivo package.json, que ya debería tener al comenzar un nuevo proyecto angular.
Agregue el módulo SafePipeModule a NgModule.imports en su archivo de módulo angular de la siguiente manera:
import { SafePipeModule } from 'safe-pipe';
@NgModule({
imports: [ SafePipeModule ]
})
export class AppModule { }
Agregue la tubería segura a un elemento en la plantilla para el componente angular que está importando a su NgModule de esta manera:
<element [property]="value | safe: sanitizationType"></element>
<div [style.background-image]="'url(' + pictureUrl + ')' | safe: 'style'" class="pic bg-pic"></div>
<img [src]="pictureUrl | safe: 'url'" class="pic" alt="Logo">
<iframe [src]="catVideoEmbed | safe: 'resourceUrl'" width="640" height="390"></iframe>
<pre [innerHTML]="htmlContent | safe: 'html'"></pre>
Por lo general, agrego un componente reutilizable de tubería segura separado de la siguiente manera
# Add Safe Pipe
import { Pipe, PipeTransform } from '@angular/core';
import { DomSanitizer } from '@angular/platform-browser';
@Pipe({name: 'mySafe'})
export class SafePipe implements PipeTransform {
constructor(private sanitizer: DomSanitizer) {
}
public transform(url) {
return this.sanitizer.bypassSecurityTrustResourceUrl(url);
}
}
# then create shared pipe module as following
import { NgModule } from '@angular/core';
import { SafePipe } from './safe.pipe';
@NgModule({
declarations: [
SafePipe
],
exports: [
SafePipe
]
})
export class SharedPipesModule {
}# import shared pipe module in your native module
@NgModule({
declarations: [],
imports: [
SharedPipesModule,
],
})
export class SupportModule {
}<!-------------------
call your url (`trustedUrl` for me) and add `mySafe` as defined in Safe Pipe
---------------->
<div class="container-fluid" *ngIf="trustedUrl">
<iframe [src]="trustedUrl | mySafe" align="middle" width="100%" height="800" frameborder="0"></iframe>
</div>Enhorabuena! ¨ ^^ Tengo una solución fácil y eficiente para ti, ¡sí!
<iframe width="100%" height="300" [attr.src]="video.url"></iframe
[attr.src] en lugar de src "video.url" y no {{video.url}}
Excelente ;)
unsafe value used in a resource URL context
<video> <source [src]=video.url type="video/mp4" /> Browser not supported </video> , de hecho, puede usarla para mostrar documentos también ... si tiene algún problema al usar la etiqueta de video, estoy aquí;)