angularjs跨站点脚本防止

前端之家收集整理的这篇文章主要介绍了angularjs跨站点脚本防止前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Angularjs负责XSS攻击.我已经读过ng-bind了.但是当我尝试做一个样本来测试它,它允许我插入输入类型的html标签与ng模型…它没有转义Html标签.

我在我们的页面中有很多输入元素,它与ng模型绑定,我应该怎么做,以确保如果我输入一个html标签,角度忽略html / scrip标签.

恩.

<input id="name" ng-model="name"></input>

如果我输入为

'Hello,<b>World</b>!'

$scope.name包含与我输入的相同的内容,不排除标签.即

var val = $scope.name;
  console.log(val);

打印相同

'Hello,<b>World</b>!'

请让我知道如何在angularjs中解决这个问题.

谢谢

看这里: http://docs.angularjs.org/api/ngSanitize/service/$sanitize

如果你想逃避使用ng-bind,它会渲染标签没有这样的解释:

Hello< b> World< / b>不喜欢Hello World!

你明白吗 ?所以ng-bind是安全的,因为它不关心HTML标签.

如果您希望HTML标签被解释,但安全地使用ng-bind-html!

例如,如果要显示此字符串:

'Hello <b>World</b><input type="text" />'

结果将是:Hello World,但没有输入,因为AngularJS编译器使用$sanitize服务并检查HTML元素的白名单,并且iput未被授权.

也许ng-bind-html是你要找的.

如果您只想确保用户无法将html标签放入输入,只需在输入上使用指令ng-pattern即可.

http://docs.angularjs.org/api/ng/directive/input

它的输入中允许的字符需要一个正则表达式!

希望有帮助!

猜你在找的Angularjs相关文章