Это означает, что angular2 не предлагает рендеринг на стороне сервера
Я получил, что угловой2 может отображать на стороне сервера (даже я не знаю, что польза), и я действительно вижу пример угловой серверной стороны.
Угловой 2 универсальный стартер
Но похоже, что угловой2 чиновник этого не предлагает.
Защита на стороне сервера XSS от angular2 doc
HTML, построенный на сервере, уязвим для инъекционных атак. Инъекционный код шаблона в Угловое приложение совпадает с введением исполняемого кода в приложение; это дает злоумышленнику полный контроль над приложением. Чтобы этого избежать, убедитесь, что вы используете язык шаблонов, который автоматически избегает значений, чтобы предотвратить уязвимости XSS на сервере. Не создавайте угловые шаблоны на стороне сервера с использованием языка шаблонов, это сопряжено с высоким риском внедрения уязвимостей для инъекций шаблонов.
Как понять это?
2 ответа
XSS может быть вызван предоставленными пользователем данными, добавленными в DOM.
Это не то, на чем работает серверный рендеринг. Отвертка на стороне сервера - это выполнение вашего приложения Angular2 на сервере, кэширование результата и отправка результирующей DOM клиенту, так что у клиента меньше работы по инициализации и он может сделать первоначальный рендеринг за более короткое время.
Это может привести к добавлению данных, предоставленных пользователем, в DOM, если ваш код приложения Angular2 делает это. Угловая2 дезинфицирует добавленный HTML, чтобы предотвратить XSS также при визуализации на сервере. Если вы предотвратите это, DomSanitizationService строку как безопасную с помощью DomSanitizationService вы снова DomSanitizationService уязвимость к атакам XSS.
-
0о, я знаю это Я неправильно понял. Спасибо.musicq
Не создавайте угловые шаблоны на стороне сервера с использованием языка шаблонов, это сопряжено с высоким риском внедрения уязвимостей для инъекций шаблонов.
Опираясь на Angular 2 для дезинфекции HTML, чтобы предотвратить XSS, недостаточно. Противник может вводить угловые выражения, такие как {{1==1}}, в шаблон на стороне сервера. {{1==1}} может быть безобидным примером, но ознакомьтесь с этим примером, где вы можете получить токен аутентификации пользователя. Вот почему генерация угловых шаблонов на сервере опасна. Вы должны убедиться, что противник не может вводить злобные угловые выражения.
Ещё вопросы
- 0получить выбранный переключатель из группы
- 0LightOpenID использует только первый возвращенный AuthURL, несмотря на запуск отдельных сессий PHP
- 0ng-repeat возвращает TypeError: невозможно прочитать свойство 'insertBefore' из null
- 1Как добавить аннотации Java в JNI SWIG API?
- 0передача массива в предложении where в соединении
- 1Android LinearLayout не выглядит одинаково на реальном устройстве
- 0Что я делаю не так с моей функцией обновления на nodejs / mongodb?
- 1Мобильный сервис Azure с .NET Backend получает исключение
- 0Поворот 3D камеры с помощью DirectX11
- 0Данные не вставлены в таблицу MySQL (MariaDB)
- 1Функция Python re.sub (), преобразующая «\ t» в пути к файлу в символ табуляции
- 0Codeigniter возвращает false из моделей
- 0Встроенное переполнение: скрыто, только частично работает
- 0Проверьте, можно ли загрузить изображение
- 1Генерация случайных, но статических данных теста
- 1Как дублировать поток
- 0Зависание обоих элементов гнезда
- 0Рекурсивно сканировать файлы и каталоги и возвращать многомерный массив
- 0Перевод с C / C ++ на C #
- 0Округление до 100 ед.
- 1Создает ли присвоение массива новую ссылку
- 0Слишком много символов в символьном литерале при преобразовании тега HTML в ссылку на сущность
- 0fieldset не полностью отображается вокруг div
- 0{float: left;} не работает
- 0Как включить результат моего сервлета Java в файл PHP?
- 0fnfilter проблема поиска в datatables
- 0ngModel передал через оболочку директиве child
- 0Как я могу вставить автоматически определенный день и определенное время в MySQL Вставить запрос
- 0Доступ к размеру элемента в векторе C ++
- 1Котлин как проблема мультиплатформенности
- 0Количество запросов на обновление SQL Количество
- 0AngularJs внедряет html-элемент в оболочку из дочернего представления из разметки
- 1WP8 BUG: несоответствие идентификатора подписи кода при установке из хаба компании
- 1Angular CLI использует SystemJS?
- 0Запрос C # LINQ с вычисляемым полем и подзапросом в предложении Select
- 1Контейнер для изображения
- 0Определение правил стиля для списка навигации (css)
- 1Есть ли способ получить данные из JSON URL
- 0Обязательно ли использовать кладку на контейнере div?
- 1Фильтрация результатов по пересечению коллекций?
- 0Странный эффект сравнения строк PHP, это может быть сделано лучше?
- 0Перетащите изображение / текст / имя файла на страницу Firefox
- 0Как зарегистрировать файлы .DLL в 64-битной ОС Windows 8?
- 0Как обращаться с наследованием в реляционной базе данных
- 0Как мне прочитать массив структур из файла и отсортировать его?
- 1Добавить DataFrame внутри функции
- 0Как создать строку, состоящую из символов, прочитанных из текстового файла?
- 1Разница между отключением пакета и отключением активности с помощью диспетчера пакетов
- 0Как независимые разработчики ПО скрывают свой объектный код, когда вы можете декомпилировать?
- 1в чем причина добавления applicationContext-dao.xml и applicationContext-service.xml в контексте приложения
