Azure ad b2c 为什么Azure AD B2C限制使用'；对于'；自定义UI中的属性？_Azure Ad B2c

Azure ad b2c 为什么Azure AD B2C限制使用'；对于'；自定义UI中的属性？

azure-ad-b2c

Azure ad b2c 为什么Azure AD B2C限制使用'；对于'；自定义UI中的属性？,azure-ad-b2c,Azure Ad B2c,有人知道为什么B2C应用的sanitizerPolicy在allowedAttributes列表中没有列出for属性，或者是否可以修改该策略？我想不出允许使用该属性有什么真正的漏洞，但它被从自定义UI源检索到的HTML的HTML清理去除了。关于卫生政策的文件很少 sanitizerPolicy是包含在SETTINGSJavaScript对象中的复杂属性，该对象由表达式框架（so B2C本身）注入B2C UI，并在加载特定内容定义的远程内容（例如自定义UI HTML和CSS）时使用。注入的设置随后

有人知道为什么B2C应用的

sanitizerPolicy

在

allowedAttributes

列表中没有列出

for

属性，或者是否可以修改该策略？我想不出允许使用该属性有什么真正的漏洞，但它被从自定义UI源检索到的HTML的HTML清理去除了。关于卫生政策的文件很少

sanitizerPolicy

是包含在

SETTINGS

JavaScript对象中的复杂属性，该对象由表达式框架（so B2C本身）注入B2C UI，并在加载特定内容定义的远程内容（例如自定义UI HTML和CSS）时使用。注入的设置随后由JavaScript函数（例如sanitizeHTML）应用，默认情况下，表达式框架也会注入这些函数。这些函数和设置用于限制远程源提供的HTML（通过表达式框架中ContentDefinition的

LoadUri

属性）。这方面的文档很少或没有，因此无法提供有用的链接

sanitizerPolicy

中当前的

allowedAttribute

数组如下所示：

['id'，'class'，'href'，'name'，'data-*'，'aria-*'，'type'，'lang'，'src'，'size'，'role'，'placeholder'，'title'，'width'，'height'，'style']

上下文：我的用例是，我希望在CSS中有一个密码策略切换，它使用一个隐藏的复选框和一个使用

for

属性绑定到复选框的标签，但遗憾的是没有绑定，因为在呈现我的自定义ui时，sanizterPolicy从标签元素中剥离

for

属性

有一个封闭的GitHub，它与添加有关此功能的适当文档的请求有关。该文档的位置未知，也未提供指向其他开放任务的链接。

我刚刚从Azure支持工程师那里得到消息，确认在Azure B2C场景下定制UI时不支持“for”属性。目前，他们已经表示，目前需要一份关于此行为的更好的文档。

当提到“allowedAttributes”列表时，能否请您与我们分享您在哪里找到“allowedAttributes”列表，以及B2C用户界面定制过程中HTML内容中不支持“for”属性？任何参考链接都会很有帮助。同样关于卫生政策，你能分享更多关于该政策的细节吗？这是用于UI自定义的自定义策略吗？GitHub发布了关于这个主题的文档@TonyJuan，为什么会对HTML有任何限制@TonyJu-我根据要求添加了更多的上下文。当提到“allowedAttributes”列表时，您能否与我们分享您在哪里找到了“allowedAttributes”列表，以及B2C用户界面定制过程中HTML内容中不支持“for”属性？任何参考链接都会很有帮助。同样关于卫生政策，你能分享更多关于该政策的细节吗？这是用于UI自定义的自定义策略吗？GitHub发布了关于这个主题的文档@TonyJuan，为什么会对HTML有任何限制@TonyJu-我根据要求添加了更多的上下文。