本文介绍了Angular2中如何使用innerHTML属性渲染HTML,包括其在处理混合文本和HTML元素时的差异,以及如何防止XSS攻击,通过DomSanitizer限制安全元素和属性。
简介
Angular 2+ 支持使用 [innerHTML] 属性绑定来渲染 HTML。如果你使用插值,它会被视为字符串。
本文将介绍如何使用 [innerHTML] 以及一些注意事项。
先决条件
如果你想跟着本文学习,你需要:
- 对 Angular 插值和属性绑定有一定了解会更有帮助。
第一步 — 使用 innerHTML
假设你正在处理一个包含纯文本和 HTML 实体和元素混合的字符串的组件:
export class ExampleComponent { htmlStr: string = 'Plain Text Example & <strong>Bold Text Example</strong>'; }
让我们考虑一个在这个字符串上使用插值的模板:
<div>{{ htmlStr }}</div>
编译后,这段代码将产生以下结果:
Plain Text Example & Bold Text Example
HTML 实体和 HTML 元素没有被渲染。
现在,让我们考虑一个在这个字符串上使用 [innerHTML] 属性绑定的模板:
<div [innerHTML]="htmlStr"></div>
重新编译后,这段代码将产生以下结果:
Plain Text Example & Bold Text Example
注意到 HTML 实体和 HTML 元素被渲染了。
第二步 — 理解限制
渲染 HTML 通常会引入跨站脚本攻击(XSS)的潜在风险。渲染的 HTML 可能包含恶意脚本,构成安全问题。
解决 XSS 的一种方法是限制 HTML 元素和属性的种类,只允许一组已知的“安全”元素和属性。
在幕后,[innerHTML] 使用 Angular 的 DomSanitizer,它使用一组经过批准的 HTML 元素和属性。
这将限制你的 [innerHTML] 值不能使用 </code> 和 <code><style></code> 标签以及 <code>style</code> 属性。在选择使用 <code>[innerHTML]</code> 时要牢记这一限制。</div><h3 id="z5QGL"><a name="t4"></a><a></a>结论</h3><div>在本文中,你了解了 Angular 2+ 中 <code>[innerHTML]</code> 属性绑定的用法。它将渲染字符串中包含的 HTML 标记。</div><div>如果你想了解更多关于 Angular 的知识,请查看我们的 Angular 专题页面,了解练习和编程项目。</div><div id="__reading__mode__content_end_mark_container_id" style="background-color: #FCFCFC;"><br /></div>
