Angularjs负责XSS攻击.我已经读过ng-bind了.但是当我尝试做一个样本来测试它,它允许我插入输入类型的html标签与ng模型…它没有转义Html标签.
我在我们的页面中有很多输入元素,它与ng模型绑定,我应该怎么做,以确保如果我输入一个html标签,角度忽略html / scrip标签.
恩.
<input id="name" ng-model="name"></input>
如果我输入为
'Hello,<b>World</b>!'
$scope.name包含与我输入的相同的内容,不排除标签.即
var val = $scope.name; console.log(val);
打印相同
'Hello,<b>World</b>!'
请让我知道如何在angularjs中解决这个问题.
谢谢
看这里:
http://docs.angularjs.org/api/ngSanitize/service/$sanitize
如果你想逃避使用ng-bind,它会渲染标签没有这样的解释:
Hello< b> World< / b>不喜欢Hello World!
你明白吗 ?所以ng-bind是安全的,因为它不关心HTML标签.
如果您希望HTML标签被解释,但安全地使用ng-bind-html!
例如,如果要显示此字符串:
'Hello <b>World</b><input type="text" />'
结果将是:Hello World,但没有输入,因为AngularJS编译器使用$sanitize服务并检查HTML元素的白名单,并且iput未被授权.
也许ng-bind-html是你要找的.
如果您只想确保用户无法将html标签放入输入,只需在输入上使用指令ng-pattern即可.
http://docs.angularjs.org/api/ng/directive/input
它的输入中允许的字符需要一个正则表达式!
希望有帮助!