允许使用ngSanitize的某些样式属性

Question

我正在使用ngSanitize在AngularJS应用程序中删除不需要的或危险的部分。但是，内容是使用HTML编辑器生成的，并包含一些样式信息，这些信息会被删除(例如，文本颜色)。

我知道删除内联CSS样式是有用的，但是我更喜欢带有CSS属性的白名单，这些属性不会被删除。有没有一种在不授予所有CSS属性的情况下实现这一目标的方法？

Answer 1

阅读ngSanitize的文档后，它似乎使用了两个白名单来确定要阻止的数据($compileProvider)。

这两个白名单是aHrefSanitizationWhitelist([regexp])和imgSrcSanitizationWhitelist([regexp])。然而，看起来这两个只处理链接的URL，以防止XSS攻击。

您可以使用sce.trustAsHtml() (如果这仍然是件事，也可以使用data-bind-html-unsafe，但我认为这是不可取的)，但这并不完全是您想要的；这将使您对所有的HTML开放，安全或不安全。

去看看$sce也许是值得的。到目前为止，可以选择转义CSS，但我不确定它是否会在HTML标记中转义内联CSS。到目前为止，我没有看到为parseAs方法提供白名单的选项。

编辑：

从$sanitize source code中可以看出，它似乎被设置为允许样式标记中的内容，而不是样式属性。除非您更改源代码，否则样式属性将被清理掉。然而，类不会被剥离，所以您可能有一个解决办法。(实际上，通过允许类而不是内联样式，您可以在注释部分限制样式的使用。)

唯一的其他选择是你自己，似乎，除非有人已经这样做。

Answer 2

在textAngular的人有一个纳克消毒叉，这将允许样式属性。用他们的版本代替消毒。