npm - @libs-ui/pipes-security-trust - Versions diffs - 0.2.356-42 → 0.2.356-43 - Mend

@libs-ui/pipes-security-trust 0.2.356-42 → 0.2.356-43

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (3) hide show

package/README.md +203 -22
package/fesm2022/libs-ui-pipes-security-trust.mjs.map +1 -1
package/package.json +2 -2

package/README.md CHANGED Viewed

@@ -1,6 +1,25 @@
-# Security Trust Pipe
+# @libs-ui/pipes-security-trust
-Pipe hỗ trợ đánh dấu một giá trị là an toàn (trusted) để sử dụng trong template Angular, bypassing cơ chế Security mặc định của framework.
+> Pipe đánh dấu giá trị là an toàn (trusted) để bypass cơ chế bảo mật mặc định của Angular, tích hợp sẵn XSS Filter cho nội dung HTML động.
+## Giới thiệu
+`LibsUiPipesSecurityTrustPipe` bọc `DomSanitizer` của Angular, cho phép đánh dấu một chuỗi là an toàn theo từng loại (`html`, `style`, `script`, `url`, `resourceUrl`) mà không cần gọi `DomSanitizer` thủ công trong TypeScript. Đối với loại `html`, pipe tự động áp dụng `xssFilter` từ `@libs-ui/utils` trước khi bypass để loại bỏ mã độc hại. Vì `xssFilter` là hàm bất đồng bộ, pipe trả về `Promise` — luôn kết hợp với pipe `async` trong template.
+## Tính năng
+- ✅ Hỗ trợ đầy đủ 5 loại trust: `html`, `style`, `script`, `url`, `resourceUrl`
+- ✅ Tích hợp `xssFilter` tự động cho loại `html` (bật mặc định, có thể tắt)
+- ✅ Trả về `Promise` — an toàn với Change Detection Strategy OnPush khi dùng cùng `async` pipe
+- ✅ Standalone pipe — import trực tiếp vào component, không cần module
+- ✅ Dùng `inject(DomSanitizer)` theo chuẩn Angular modern
+## Khi nào sử dụng
+- Hiển thị nội dung HTML động lấy từ server hoặc người dùng nhập vào (WYSIWYG editor, rich text)
+- Áp dụng inline style động khi component con yêu cầu kiểu `SafeStyle` hoặc cần suppress Angular dev-mode warning
+- Nhúng URL động vào thẻ `<iframe>`, `<embed>`, `<object>` (ResourceUrl)
+- Sử dụng `javascript:` URL hoặc URL scheme không chuẩn trong thuộc tính `href`, `src`
 ## Cài đặt
@@ -8,47 +27,209 @@ Pipe hỗ trợ đánh dấu một giá trị là an toàn (trusted) để sử
 npm install @libs-ui/pipes-security-trust
 ```
-## Cách sử dụng
+## Import
-Import `LibsUiPipesSecurityTrustPipe` vào component của bạn:
+```typescript
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+```
+Import vào component:
 ```typescript
+import { CommonModule } from '@angular/common';
+import { Component } from '@angular/core';
 import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+@Component({
+  standalone: true,
+  imports: [CommonModule, LibsUiPipesSecurityTrustPipe],
+  templateUrl: './my.component.html',
+})
+export class MyComponent {}
+```
+## Ví dụ sử dụng
+### 1. Trusted HTML — hiển thị HTML động có XSS Filter
+```typescript
+// my.component.ts
 import { CommonModule } from '@angular/common';
+import { Component } from '@angular/core';
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
 @Component({
   standalone: true,
   imports: [CommonModule, LibsUiPipesSecurityTrustPipe],
-  // ...
+  templateUrl: './my.component.html',
 })
 export class MyComponent {
-  htmlContent = '<span style="color: blue">Nội dung xanh</span>';
+  htmlContent = '<b style="color: red">Nội dung đậm có style</b>. Được lấy từ API.';
 }
 ```
-Sử dụng trong template (luôn đi kèm với pipe `async` do trả về Promise):
 ```html
-<!-- Trusted HTML -->
+<!-- my.component.html -->
+<!-- Mặc định: Angular xóa thuộc tính style để bảo mật -->
+<div [innerHTML]="htmlContent"></div>
+<!-- Dùng pipe + XSS Filter (mặc định): giữ style, lọc mã độc -->
 <div [innerHTML]="htmlContent | LibsUiPipesSecurityTrustPipe:'html' | async"></div>
-<!-- Trusted Style -->
-<div [style.background]="gradient | LibsUiPipesSecurityTrustPipe:'style' | async"></div>
+<!-- Dùng pipe nhưng tắt XSS Filter (nguy hiểm — chỉ khi nguồn hoàn toàn tin tưởng) -->
+<div [innerHTML]="htmlContent | LibsUiPipesSecurityTrustPipe:'html':false | async"></div>
+```
-<!-- Trusted URL -->
-<a [href]="link | LibsUiPipesSecurityTrustPipe:'url' | async">Link</a>
+### 2. Resource URL — nhúng iframe
-<!-- Resource URL -->
-<iframe [src]="videoUrl | LibsUiPipesSecurityTrustPipe:'resourceUrl' | async"></iframe>
+```typescript
+// my.component.ts
+import { CommonModule } from '@angular/common';
+import { Component } from '@angular/core';
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+@Component({
+  standalone: true,
+  imports: [CommonModule, LibsUiPipesSecurityTrustPipe],
+  templateUrl: './my.component.html',
+})
+export class MyComponent {
+  videoUrl = 'https://www.youtube.com/embed/dQw4w9WgXcQ';
+}
 ```
-## API
+```html
+<!-- my.component.html -->
+<!-- Không dùng pipe: Angular ném lỗi "unsafe value used in a resource URL context" -->
+<!-- <iframe [src]="videoUrl"></iframe>  ← LỖI -->
-| Tham số        | Kiểu dữ liệu                                              | Mặc định    | Mô tả                                             |
-| -------------- | --------------------------------------------------------- | ----------- | ------------------------------------------------- |
-| `type`         | `'html' \| 'style' \| 'script' \| 'url' \| 'resourceUrl'` | `undefined` | Loại nội dung cần trust.                          |
-| `useXssFilter` | `boolean`                                                 | `true`      | Có áp dụng `xssFilter` cho loại `html` hay không. |
+<!-- Dùng pipe: iframe load bình thường -->
+<iframe
+  [src]="videoUrl | LibsUiPipesSecurityTrustPipe:'resourceUrl' | async"
+  class="w-full h-full border-0"
+  allowfullscreen>
+</iframe>
+```
-## Lưu ý bảo mật
+### 3. Trusted URL — link với scheme không chuẩn
+```typescript
+// my.component.ts
+import { CommonModule } from '@angular/common';
+import { Component } from '@angular/core';
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+@Component({
+  standalone: true,
+  imports: [CommonModule, LibsUiPipesSecurityTrustPipe],
+  templateUrl: './my.component.html',
+})
+export class MyComponent {
+  // Dùng trong deep link app mobile hoặc custom protocol
+  appDeepLink = 'myapp://open?screen=profile&userId=123';
+}
+```
+```html
+<!-- my.component.html -->
+<!-- Không dùng pipe: Angular thêm prefix "unsafe:" vào href -->
+<a [href]="appDeepLink">Mở ứng dụng (Bị chặn)</a>
+<!-- Dùng pipe: href được gán nguyên vẹn -->
+<a [href]="appDeepLink | LibsUiPipesSecurityTrustPipe:'url' | async">Mở ứng dụng</a>
+```
+### 4. Trusted Style — component yêu cầu kiểu SafeStyle
+```typescript
+// my.component.ts
+import { CommonModule } from '@angular/common';
+import { Component } from '@angular/core';
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+@Component({
+  standalone: true,
+  imports: [CommonModule, LibsUiPipesSecurityTrustPipe],
+  templateUrl: './my.component.html',
+})
+export class MyComponent {
+  gradientStyle = 'background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); color: white; padding: 16px; border-radius: 8px;';
+}
+```
+```html
+<!-- my.component.html -->
+<!-- Dùng khi component con yêu cầu kiểu SafeStyle hoặc suppress Angular dev-mode warning -->
+<div [attr.style]="gradientStyle | LibsUiPipesSecurityTrustPipe:'style' | async">
+  Nội dung với gradient động
+</div>
+```
+## Transform
+Cú pháp pipe:
+```
+value | LibsUiPipesSecurityTrustPipe : type : useXssFilter | async
+```
+| Tham số | Type | Bắt buộc | Mô tả | Ví dụ |
+|---|---|---|---|---|
+| `value` | `string` | Có | Chuỗi cần đánh dấu an toàn | `'<b>text</b>'` |
+| `type` | `'html' \| 'style' \| 'script' \| 'url' \| 'resourceUrl'` | Có | Loại nội dung cần trust | `'html'` |
+| `useXssFilter` | `boolean` | Không | Bật/tắt XSS Filter — chỉ áp dụng với `type: 'html'`. Mặc định `true` | `false` |
+**Giá trị trả về (Return type):**
+| `type` | Return type |
+|---|---|
+| `'html'` | `Promise<SafeHtml>` |
+| `'style'` | `Promise<SafeStyle>` |
+| `'script'` | `Promise<SafeScript>` |
+| `'url'` | `Promise<SafeUrl>` |
+| `'resourceUrl'` | `Promise<SafeResourceUrl>` |
+**Ví dụ standalone (gọi trực tiếp trong TypeScript):**
+```typescript
+import { inject } from '@angular/core';
+import { LibsUiPipesSecurityTrustPipe } from '@libs-ui/pipes-security-trust';
+// Trong constructor hoặc method
+const pipe = inject(LibsUiPipesSecurityTrustPipe);
+// HTML với XSS Filter
+const safeHtml = await pipe.transform('<b style="color:red">text</b>', 'html');
+// HTML không dùng XSS Filter
+const rawHtml = await pipe.transform('<b>text</b>', 'html', false);
+// Resource URL
+const safeUrl = await pipe.transform('https://www.youtube.com/embed/abc123', 'resourceUrl');
+```
+## Lưu ý quan trọng
+⚠️ **Luôn dùng pipe `async` trong template**: Vì `transform()` trả về `Promise`, bắt buộc phải pipe qua `async` (từ `CommonModule`) để Angular unwrap giá trị. Thiếu `async` sẽ khiến template nhận được object `Promise` thay vì giá trị thực.
+⚠️ **Bypass cơ chế bảo mật của Angular**: Pipe này vô hiệu hóa DomSanitizer cho giá trị được truyền vào. Chỉ sử dụng với nội dung từ nguồn mà bạn hoàn toàn kiểm soát hoặc đã xử lý phía server.
+⚠️ **XSS Filter chỉ áp dụng cho type `'html'`**: Các loại `style`, `script`, `url`, `resourceUrl` không qua XSS Filter — developer chịu trách nhiệm đảm bảo an toàn cho nội dung đầu vào.
+⚠️ **`type: 'style'` ít cần thiết với Angular 14+**: Angular 14+ đã relaxed bộ style sanitizer, CSS property thông thường (`color`, `background`, `font-size`...) không bị chặn ngay cả khi không dùng pipe. Chỉ cần loại `style` khi component con yêu cầu kiểu TypeScript `SafeStyle` hoặc cần suppress dev-mode warning.
+⚠️ **`type: 'script'` rất hiếm dùng**: Angular không có binding nào yêu cầu `SafeScript` trong template thông thường. Chỉ sử dụng khi tích hợp với thư viện bên thứ ba có yêu cầu đặc biệt.
+⚠️ **Truyền `false` cho `useXssFilter` là nguy hiểm**: Chỉ tắt XSS Filter khi nội dung HTML đã được sanitize hoàn toàn ở phía server và bạn cần giữ nguyên toàn bộ markup.
+## Demo
+```bash
+npx nx serve core-ui
+```
-Pipe này bypass cơ chế bảo mật của Angular. Chỉ sử dụng với các nội dung mà bạn hoàn toàn tin tưởng. Mặc định `xssFilter` được bật cho loại `html` để tăng thêm một lớp bảo mật.
+Truy cập: http://localhost:4500/pipes/security-trust

package/fesm2022/libs-ui-pipes-security-trust.mjs.map CHANGED Viewed

	@@ -1 +1 @@
1	- {"version":3,"file":"libs-ui-pipes-security-trust.mjs","sources":["../../../../../libs-ui/pipes/security-trust/src/security-trust.pipe.ts","../../../../../libs-ui/pipes/security-trust/src/libs-ui-pipes-security-trust.ts"],"sourcesContent":["import { Pipe, PipeTransform, inject } from '@angular/core';\nimport { DomSanitizer, SafeHtml, SafeResourceUrl, SafeScript, SafeStyle, SafeUrl } from '@angular/platform-browser';\nimport { xssFilter } from '@libs-ui/utils';\n\n@Pipe({\n name: 'LibsUiPipesSecurityTrustPipe',\n standalone: true,\n})\nexport class LibsUiPipesSecurityTrustPipe implements PipeTransform {\n private readonly sanitizer = inject(DomSanitizer);\n\n public async transform(value: string, type: string, useXssFilter = true): Promise<SafeHtml \| SafeStyle \| SafeScript \| SafeUrl \| SafeResourceUrl> {\n switch (type) {\n case 'html':\n return this.sanitizer.bypassSecurityTrustHtml(useXssFilter ? await xssFilter(value) : value);\n\n case 'style':\n return this.sanitizer.bypassSecurityTrustStyle(value);\n\n case 'script':\n return this.sanitizer.bypassSecurityTrustScript(value);\n\n case 'url':\n return this.sanitizer.bypassSecurityTrustUrl(value);\n\n case 'resourceUrl':\n return this.sanitizer.bypassSecurityTrustResourceUrl(value);\n\n default:\n throw new Error(`Invalid safe type specified: ${type}`);\n }\n }\n}\n","/*\n Generated bundle index. Do not edit.\n /\n\nexport from './index';\n"],"names":[],"mappings":";;;;;MAQa,4BAA4B,CAAA;AACtB,IAAA,SAAS,GAAG,MAAM,CAAC,YAAY,CAAC;~~IAE1C~~,MAAM,SAAS,CAAC,KAAa,EAAE,IAAY,EAAE,YAAY,GAAG,IAAI,EAAA;QACrE,QAAQ,IAAI;AACV,YAAA,KAAK,MAAM;gBACT,OAAO,IAAI,CAAC,SAAS,CAAC,uBAAuB,CAAC,YAAY,GAAG,MAAM,SAAS,CAAC,KAAK,CAAC,GAAG,KAAK,CAAC;~~AAE9F~~,YAAA,KAAK,OAAO;gBACV,OAAO,IAAI,CAAC,SAAS,CAAC,wBAAwB,CAAC,KAAK,CAAC;~~AAEvD~~,YAAA,KAAK,QAAQ;gBACX,OAAO,IAAI,CAAC,SAAS,CAAC,yBAAyB,CAAC,KAAK,CAAC;~~AAExD~~,YAAA,KAAK,KAAK;gBACR,OAAO,IAAI,CAAC,SAAS,CAAC,sBAAsB,CAAC,KAAK,CAAC;~~AAErD~~,YAAA,KAAK,aAAa;gBAChB,OAAO,IAAI,CAAC,SAAS,CAAC,8BAA8B,CAAC,KAAK,CAAC;~~AAE7D~~,YAAA;AACE,gBAAA,MAAM,IAAI,KAAK,CAAC,gCAAgC,IAAI,CAAA,CAAE,CAAC~~;;IAE7D~~;~~wGAvBW~~,4BAA4B,EAAA,IAAA,EAAA,EAAA,EAAA,MAAA,EAAA,EAAA,CAAA,eAAA,CAAA,IAAA,EAAA,CAAA;sGAA5B,4BAA4B,EAAA,YAAA,EAAA,IAAA,EAAA,IAAA,EAAA,8BAAA,EAAA,CAAA;;4FAA5B,4BAA4B,EAAA,UAAA,EAAA,CAAA;kBAJxC,IAAI;AAAC,YAAA,IAAA,EAAA,CAAA;AACJ,oBAAA,IAAI,EAAE,8BAA8B;AACpC,oBAAA,UAAU,EAAE,IAAI;AACjB,iBAAA;;;ACPD;;AAEG;;;;"}
1	+ {"version":3,"file":"libs-ui-pipes-security-trust.mjs","sources":["../../../../../libs-ui/pipes/security-trust/src/security-trust.pipe.ts","../../../../../libs-ui/pipes/security-trust/src/libs-ui-pipes-security-trust.ts"],"sourcesContent":["import { Pipe, PipeTransform, inject } from '@angular/core';\nimport { DomSanitizer, SafeHtml, SafeResourceUrl, SafeScript, SafeStyle, SafeUrl } from '@angular/platform-browser';\nimport { xssFilter } from '@libs-ui/utils';\n\n@Pipe({\n name: 'LibsUiPipesSecurityTrustPipe',\n standalone: true,\n})\nexport class LibsUiPipesSecurityTrustPipe implements PipeTransform {\n private readonly sanitizer = inject(DomSanitizer);\n\n public async transform(value: string, type: string, useXssFilter = true): Promise<SafeHtml \| SafeStyle \| SafeScript \| SafeUrl \| SafeResourceUrl> {\n switch (type) {\n case 'html':\n return this.sanitizer.bypassSecurityTrustHtml(useXssFilter ? await xssFilter(value) : value);\n\n case 'style':\n return this.sanitizer.bypassSecurityTrustStyle(value);\n\n case 'script':\n return this.sanitizer.bypassSecurityTrustScript(value);\n\n case 'url':\n return this.sanitizer.bypassSecurityTrustUrl(value);\n\n case 'resourceUrl':\n return this.sanitizer.bypassSecurityTrustResourceUrl(value);\n\n default:\n throw new Error(`Invalid safe type specified: ${type}`);\n }\n }\n}\n","/*\n Generated bundle index. Do not edit.\n /\n\nexport from './index';\n"],"names":[],"mappings":";;;;;MAQa,4BAA4B,CAAA;AACtB,IAAA,SAAS,GAAG,MAAM,CAAC,YAAY,CAAC,CAAC;IAE3C,MAAM,SAAS,CAAC,KAAa,EAAE,IAAY,EAAE,YAAY,GAAG,IAAI,EAAA;QACrE,QAAQ,IAAI;AACV,YAAA,KAAK,MAAM;gBACT,OAAO,IAAI,CAAC,SAAS,CAAC,uBAAuB,CAAC,YAAY,GAAG,MAAM,SAAS,CAAC,KAAK,CAAC,GAAG,KAAK,CAAC,CAAC;AAE/F,YAAA,KAAK,OAAO;gBACV,OAAO,IAAI,CAAC,SAAS,CAAC,wBAAwB,CAAC,KAAK,CAAC,CAAC;AAExD,YAAA,KAAK,QAAQ;gBACX,OAAO,IAAI,CAAC,SAAS,CAAC,yBAAyB,CAAC,KAAK,CAAC,CAAC;AAEzD,YAAA,KAAK,KAAK;gBACR,OAAO,IAAI,CAAC,SAAS,CAAC,sBAAsB,CAAC,KAAK,CAAC,CAAC;AAEtD,YAAA,KAAK,aAAa;gBAChB,OAAO,IAAI,CAAC,SAAS,CAAC,8BAA8B,CAAC,KAAK,CAAC,CAAC;AAE9D,YAAA;AACE,gBAAA,MAAM,IAAI,KAAK,CAAC,gCAAgC,IAAI,CAAA,CAAE,CAAC,CAAC;SAC3D;KACF;wGAvBU,4BAA4B,EAAA,IAAA,EAAA,EAAA,EAAA,MAAA,EAAA,EAAA,CAAA,eAAA,CAAA,IAAA,EAAA,CAAA,CAAA;sGAA5B,4BAA4B,EAAA,YAAA,EAAA,IAAA,EAAA,IAAA,EAAA,8BAAA,EAAA,CAAA,CAAA;;4FAA5B,4BAA4B,EAAA,UAAA,EAAA,CAAA;kBAJxC,IAAI;AAAC,YAAA,IAAA,EAAA,CAAA;AACJ,oBAAA,IAAI,EAAE,8BAA8B;AACpC,oBAAA,UAAU,EAAE,IAAI;AACjB,iBAAA,CAAA;;;ACPD;;AAEG;;;;"}

package/package.json CHANGED Viewed

@@ -1,10 +1,10 @@
 {
   "name": "@libs-ui/pipes-security-trust",
-  "version": "0.2.356-42",
+  "version": "0.2.356-43",
   "peerDependencies": {
     "@angular/core": ">=18.0.0",
     "@angular/platform-browser": ">=18.0.0",
-    "@libs-ui/utils": "0.2.356-42"
+    "@libs-ui/utils": "0.2.356-43"
   },
   "sideEffects": false,
   "module": "fesm2022/libs-ui-pipes-security-trust.mjs",