Angular DomSanitizer - SecurityContext.NONE

Question

Angulaire officielle Security Guide parle de 4 contextes de sécurité: HTML, Url, Style and ResourceUrl.
Chacun est responsable de la désinfection du type de ressource correspondant.
En outre, il y a 5 méthodes (par type de ressource) dans DomSanitizer Service

- bypassSecurityTrustHtml 
- bypassSecurityTrustScript 
- bypassSecurityTrustStyle 
- bypassSecurityTrustUrl 
- bypassSecurityTrustResourceUrl 

Cependant, je ne trouve aucune mention de SecurityContext.NONE dans les documents officiels. Et c'est does exist dans le code.

Je suppose qu'il agrège tous les types de ressources, ce qui signifie que la ressource en cours de nettoyage peut être du code HTML, qui contient des styles et des scripts.

Est-ce le cas? Une source officielle?

Answer 1

Apparemment, si nous utilisons domSanitizer.sanitize avec SecurityContext.NONE, il n'effectuera aucun assainissement et will return la valeur telle quelle. Ainsi, cela permettra le HTML avec des URL intégrées, des styles et des scripts.

Par conséquent, il est fortement recommandé de ne pas l'utiliser dans votre code.