嵌入标签src属性预先考虑不安全：在烬JS

Question

我试图使用嵌入标签和src属性

<embed src="{{mediaUrl}}" type="{{mimeType}}" /> 

但在打开页面时，我得到

<embed src="unsafe:abc/def.mp4" type="video/mp4" /> 

提供的动态网址

• 我改变CSP的权限，包括媒体-SRC，儿童SRC等
• 我给完全权限（*）
• 我删除了所有权限
• 最后，我完全删除了“ember-cli-content-security-policy”，即使在不安全的前提下：也无法避免。

删除“烬-CLI-内容安全策略”，然而并没有阻止URL了，但该网址仍不安全前缀，并没有加载，因为它的视频

我想还有什么：

• 使用一个带有标签的ember组件作为embed和src，并键入attribute-binded并使用html.safestring。结果：不安全：还在前面加上

• 新增的URL src属性组件呈现后（没有显示视频，即使不安全：没有预谋，因为我相信嵌入SRC标签不能更改）

• 添加了完整的组件后，现在它的工作。

但是，这不是我想要的东西，我想这是模板的一部分，而不是动态的插入

Answer 1

我有同样的问题，我用这个帮手解决它：

// app/helpers/safe-string.js 
import Ember from 'ember'; 

export function safeString(value) { 
    return Ember.String.htmlSafe(value) 
} 

export default Ember.Helper.helper(safeString); 

现在你可以这样做：

<embed src="{{safe-string mediaUrl}}" type="{{mimeType}}" />