角DomSanitizer - SecurityContext.NONE

Question

官方的安全指南讨论了4种安全环境：HTML, Url, Style and Resource Url。

每个人负责对相应类型的资源进行消毒。

此外，在DomSanitizer服务中有5种方法(每种资源类型)

 - bypassSecurityTrustHtml 
 - bypassSecurityTrustScript
 - bypassSecurityTrustStyle 
 - bypassSecurityTrustUrl
 - bypassSecurityTrustResourceUrl

然而，我在官方文档中没有发现任何提到SecurityContext.NONE的地方。代码中是确实存在。

我假设它聚合了所有的资源类型，这意味着被净化的资源可以是HTML，其中包含样式和脚本。

是这样吗？有官方消息来源吗？

Answer 1

显然，如果我们将domSanitizer.sanitize与SecurityContext.NONE结合使用，它将不会执行任何卫生操作，并且不会按照其价值进行会回来。

因此，这将允许带有嵌入URL、样式和脚本的HTML。

因此，强烈建议不要在代码中使用此方法。