设置 iframe url 的唯一方法是通过this.domsanitizer.bypassSecurityTrustResourceUrl(url). 但是像 veracode 这样的静态代码分析工具将此作为一个高漏洞问题提出来,我认为这是正确的。但是有没有办法像白名单一样安全地信任 url?
2 回答
1
如果您不控制 iframe 的内容,则 iframe 始终存在安全风险。如果不“绕过”一些清理过程并信任资源,根本无法在您的页面中拥有 iframe。
如果 url 的内容是您可以精确假设的内容,也许您可以根据您的自定义需求实现自己的sanitizer和 sanitize 方法。这将比仅仅信任它更安全,并且分析工具也可以这样做。
于 2019-10-17T10:18:11.040 回答
0
您可以在 iframe 中使用沙盒属性。
于 2019-10-17T09:53:54.897 回答