angularjs跨站点脚本防止
发布时间:2020-12-17 07:47:25 所属栏目:安全 来源:网络整理
导读:Angularjs负责XSS攻击.我已经读过ng-bind了.但是当我尝试做一个样本来测试它,它允许我插入输入类型的html标签与ng模型…它没有转义Html标签. 我在我们的页面中有很多输入元素,它与ng模型绑定,我应该怎么做,以确保如果我输入一个html标签,角度忽略html / scri
|
Angularjs负责XSS攻击.我已经读过ng-bind了.但是当我尝试做一个样本来测试它,它允许我插入输入类型的html标签与ng模型…它没有转义Html标签.
我在我们的页面中有很多输入元素,它与ng模型绑定,我应该怎么做,以确保如果我输入一个html标签,角度忽略html / scrip标签. 恩. <input id="name" ng-model="name"></input> 如果我输入为 'Hello,<b>World</b>!' $scope.name包含与我输入的相同的内容,不排除标签.即 var val = $scope.name; console.log(val); 打印相同 'Hello,<b>World</b>!' 请让我知道如何在angularjs中解决这个问题. 谢谢
看这里:
http://docs.angularjs.org/api/ngSanitize/service/$sanitize
如果你想逃避使用ng-bind,它会渲染标签没有这样的解释: Hello< b> World< / b>不喜欢Hello World! 你明白吗 ?所以ng-bind是安全的,因为它不关心HTML标签. 如果您希望HTML标签被解释,但安全地使用ng-bind-html! 例如,如果要显示此字符串: 'Hello <b>World</b><input type="text" />' 结果将是:Hello World,但没有输入,因为AngularJS编译器使用$sanitize服务并检查HTML元素的白名单,并且iput未被授权. 也许ng-bind-html是你要找的. 如果您只想确保用户无法将html标签放入输入,只需在输入上使用指令ng-pattern即可. http://docs.angularjs.org/api/ng/directive/input 它的输入中允许的字符需要一个正则表达式! 希望有帮助! (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |