You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
| HTML | Usado cuando se interpreta un valor como HTML, por ejemplo, al enlazar a `innerHtml`. |
64
-
| Style | Usado cuando se enlaza CSS a la propiedad `style`. |
65
-
| URL | Usado para propiedades de URL, como `<a href>`. |
66
-
| Resource URL | Una URL que se carga y ejecuta como código, por ejemplo, en `<script src>`. |
64
+
| Style | Usado cuando se enlaza CSS a la propiedad `style`. |
65
+
| URL | Usado para propiedades de URL, como `<a href>`. |
66
+
| Resource URL | Una URL que se carga y ejecuta como código, por ejemplo, en `<script src>`. |
67
67
68
68
Angular sanitiza valores no confiables para HTML y URLs. Sanitizar URLs de recursos no es posible porque contienen código arbitrario.
69
69
En modo de desarrollo, Angular imprime una advertencia en la consola cuando tiene que cambiar un valor durante la sanitización.
@@ -95,7 +95,7 @@ Evita interactuar directamente con el DOM y en su lugar usa plantillas de Angula
95
95
96
96
Para casos donde esto es inevitable, usa las funciones de sanitización integradas de Angular.
97
97
Sanitiza valores no confiables con el método [DomSanitizer.sanitize](api/platform-browser/DomSanitizer#sanitize) y el `SecurityContext` apropiado.
98
-
Esa función también acepta valores que fueron marcados como confiables usando las funciones `bypassSecurityTrust`, y no los sanitiza, como se [describe a continuación](#trusting-safe-values).
98
+
Esa función también acepta valores que fueron marcados como confiables usando las funciones `bypassSecurityTrust`, y no los sanitiza, como se [describe a continuación](#confiar-en-valores-seguros).
99
99
100
100
### Confiar en valores seguros
101
101
@@ -155,14 +155,16 @@ Puedes establecer el nonce para Angular de una de estas maneras:
155
155
1. Proporciona el nonce usando el token de inyección `CSP_NONCE`. Usa este enfoque si tienes acceso al nonce en tiempo de ejecución y quieres poder cachear el `index.html`.
@@ -202,13 +204,13 @@ Consulta [caniuse.com/trusted-types](https://caniuse.com/trusted-types) para el
202
204
203
205
Para aplicar Trusted Types en tu aplicación, debes configurar el servidor web de tu aplicación para emitir encabezados HTTP con una de las siguientes políticas de Angular:
|`angular`| Esta política se usa en código revisado de seguridad que es interno de Angular, y es requerida para que Angular funcione cuando Trusted Types está aplicado. Cualquier valor de plantilla en línea o contenido sanitizado por Angular es tratado como seguro por esta política. |
208
-
|`angular#bundler`| Esta política es usada por el bundler de Angular CLI al crear archivos de chunks lazy. |
209
-
|`angular#unsafe-bypass`| Esta política se usa para aplicaciones que usan cualquiera de los métodos en [DomSanitizer](api/platform-browser/DomSanitizer) de Angular que evaden la seguridad, como `bypassSecurityTrustHtml`. Cualquier aplicación que use estos métodos debe habilitar esta política. |
|`angular`| Esta política se usa en código revisado de seguridad que es interno de Angular, y es requerida para que Angular funcione cuando Trusted Types está aplicado. Cualquier valor de plantilla en línea o contenido sanitizado por Angular es tratado como seguro por esta política. |
210
+
|`angular#bundler`| Esta política es usada por el bundler de Angular CLI al crear archivos de chunks lazy. |
211
+
|`angular#unsafe-bypass`| Esta política se usa para aplicaciones que usan cualquiera de los métodos en [DomSanitizer](api/platform-browser/DomSanitizer) de Angular que evaden la seguridad, como `bypassSecurityTrustHtml`. Cualquier aplicación que use estos métodos debe habilitar esta política. |
210
212
|`angular#unsafe-jit`| Esta política es usada por el [compilador Just-In-Time (JIT)](api/core/Compiler). Debes habilitar esta política si tu aplicación interactúa directamente con el compilador JIT o está ejecutándose en modo JIT usando [platform browser dynamic](api/platform-browser-dynamic/platformBrowserDynamic). |
211
-
|`angular#unsafe-upgrade`| Esta política es usada por el paquete [@angular/upgrade](api/upgrade/static/UpgradeModule). Debes habilitar esta política si tu aplicación es un híbrido de AngularJS. |
213
+
|`angular#unsafe-upgrade`| Esta política es usada por el paquete [@angular/upgrade](api/upgrade/static/UpgradeModule). Debes habilitar esta política si tu aplicación es un híbrido de AngularJS. |
212
214
213
215
Debes configurar los encabezados HTTP para Trusted Types en las siguientes ubicaciones:
214
216
@@ -219,25 +221,29 @@ Debes configurar los encabezados HTTP para Trusted Types en las siguientes ubica
219
221
El siguiente es un ejemplo de un encabezado específicamente configurado para Trusted Types y Angular:
Un ejemplo de un encabezado específicamente configurado para Trusted Types y aplicaciones Angular que usan cualquiera de los métodos de Angular en [DomSanitizer](api/platform-browser/DomSanitizer) que evaden la seguridad:
Para información sobre CSRF en el Open Web Application Security Project \(OWASP\), consulta [Cross-Site Request Forgery (CSRF)](https://owasp.org/www-community/attacks/csrf) y [Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html).
350
352
El documento de la Universidad de Stanford [Robust Defenses for Cross-Site Request Forgery](https://seclab.stanford.edu/websec/csrf/csrf.pdf) es una fuente rica en detalles.
351
353
352
-
Consulta también la [charla de Dave Smith sobre XSRF en AngularConnect 2016](https://www.youtube.com/watch?v=9inczw6qtpY'Cross Site Request Funkery Securing Your Angular Apps From Evil Doers').
354
+
Consulta también la [charla de Dave Smith sobre XSRF en AngularConnect 2016](https://www.youtube.com/watch?v=9inczw6qtpY"Cross Site Request Funkery Securing Your Angular Apps From Evil Doers").
0 commit comments