AngularJSは、拡張ページでURLを「unsafe：」に変更します

Question

アプリのリストでAngularを使用しようとしていますが、それぞれがアプリを詳細に表示するリンクです（apps/app.id）：

<a id="{{app.id}}" href="apps/{{app.id}}" >{{app.name}}</a>

これらのリンクのいずれかをクリックするたびに、ChromeはURLを次のように表示します

unsafe:chrome-extension://kpbipnfncdpgejhmdneaagc.../apps/app.id

unsafe:はどこから来たのですか？

Philip Bulley · Accepted Answer

正規表現を使用して、AngularのホワイトリストにURLプロトコルを明示的に追加する必要があります。 http、https、ftp、およびmailtoのみがデフォルトで有効になっています。 Angularは、unsafe:などのプロトコルを使用するときに、ホワイトリストに登録されていないURLの前にchrome-extension:を付加します。

chrome-extension:プロトコルをホワイトリストに登録するのに適した場所は、モジュールの構成ブロックです。

var app = angular.module( 'myApp', [] ) .config( [ '$compileProvider', function( $compileProvider ) { $compileProvider.aHrefSanitizationWhitelist(/^\s*(https?|ftp|mailto|chrome-extension):/); // Angular before v1.2 uses $compileProvider.urlSanitizationWhitelist(...) } ]);

file:やtel:などのプロトコルを使用する必要がある場合にも、同じ手順が適用されます。

詳細については、AngularJS $ compileProvider APIドキュメントを参照してください。

R. Salisbury · Answer

誰かが画像でこの問題を抱えている場合にも：

app.config(['$compileProvider', function ($compileProvider) { $compileProvider.imgSrcSanitizationWhitelist(/^\s*(https?|local|data|chrome-extension):/); }]);

Ivasyliv · Answer

メールだけが必要な場合、telとsmsはこれを使用します。

app.config(['$compileProvider', function ($compileProvider) { $compileProvider.aHrefSanitizationWhitelist(/^\s*(https?|ftp|mailto|file|sms|tel):/); }]);

D C · Answer

<a href="{{applicant.resume}}" download> download resume</a> var app = angular.module("myApp", []); app.config(['$compileProvider', function($compileProvider) { $compileProvider.aHrefSanitizationWhitelist(/^\s*(https?|local|data|chrome-extension):/); $compileProvider.imgSrcSanitizationWhitelist(/^\s*(https?|local|data|chrome-extension):/); }]);

Raman · Answer

Angular 2+には、DomSanitizerのbypassSecurityTrustResourceUrlメソッドを使用できます。

import {DomSanitizer} from '@angular/platform-browser'; class ExampleComponent { sanitizedURL : SafeResourceUrl; constructor( private sanitizer: DomSanitizer){ this.sanitizedURL = this.sanitizer.bypassSecurityTrustResourceUrl(); } }

Umur Kontacı · Answer

Google Chromeは、Content Security Policy (CSP)と連携するために拡張機能を必要とします。

CSPの要件を満たすように拡張機能を変更する必要があります。

https://developer.chrome.com/extensions/contentSecurityPolicy.html

https://developer.mozilla.org/en-US/docs/Security/CSP

また、angularJSにはngCspディレクティブがあり、使用する必要があります。

http://docs.angularjs.org/api/ng.directive:ngCsp