Monacaアプリで画像データをバインドした場合のセキュリティ設定について
解決済
回答 1
投稿
- 評価
- クリップ 0
- VIEW 1,546
MonacaクラウドIDEにて、Onsen UI V2、Angular 1.5にてアプリを開発しております。
コントローラーに画像データをData URI形式で配置し、HTML上に表示する仕組みを記述しているのですが、HTML上に表示した場合、<img src="">なら表示できるのですが、<a href="">でリンク先として設定すると表示できません。
コントローラーから読み込まずに直接Data URIを記述するとリンクが機能します。
var app = angular.module('plunker', []);
app.controller('MainCtrl', function() {
this.imgdata='data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMg(以下省略)';
});<!DOCTYPE html>
<html ng-app="plunker">
<head>
<meta charset="utf-8" />
<meta http-equiv="Content-Security-Policy" content="default-src * data: blob: filesystem:; style-src * 'unsafe-inline'; script-src * 'unsafe-inline' 'unsafe-eval' 'unsafe-url'">
<title>AngularJS Plunker</title>
<link rel="stylesheet" href="style.css" />
<script data-require="angular.js@1.5.x" src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.5.10/angular.min.js" data-semver="1.5.10"></script>
<script src="app.js"></script>
</head>
<body ng-controller="MainCtrl as main">
<p><img src="{{main.imgdata}}"></p>
<p><a href="{{main.imgdata}}">link test1</a></p>
<p><a href="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAM(以下省略)">link test2</a></p>
</body>
</html>
「img src=""」で画像を表示するのは問題なく出来ます。
「link test1」が機能しません。
「link test2」は機能します(IE11では機能しないかもしれません。Chrome、Firefoxでは機能します)
機能しない「link test1」のリンク先を確認すると「unsafe:data:image/png(以下省略)」となり、頭に「unsafe:」という文字列が追加されています。
たぶん、クロスサイトスクリプト関連の警告と思われますが、これを解除する方法はあるのでしょうか。
metaタグの「Content-Security-Policy」に何かを記述すれば解決できるのではないかと思うのですが、具体的にどのように記述したらよいかわかりません。
どなたかわかる方がおりましたらアドバイスお願いします。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
check解決した方法
0
自己解決しました。
以下のようなconfigを入れることで、サニタイズを無効に出来るようです。
これにより、href内の「data:image」を表示できるようになりました。
app.config(function($compileProvider) {
$compileProvider.imgSrcSanitizationWhitelist(/^\s*((https?|ftp|file|app):|data:image\/)/);
$compileProvider.aHrefSanitizationWhitelist(/^\s*((https?|ftp|mailto|tel|file|app):|data:image\/)/);
});投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.13%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる