Question

我正在尝试创建一个像这样有书签的页面：

<a ng-href="{{getBookmarklet()}}">Bookmarklet</a>

function MyCtrl($scope) {
  $scope.getBookmarklet = function() {
     return 'javascript:alert(1)';
  }
}

href被清理为不安全：javascript：alert（1）。所以，我尝试使用sce.trustAs来防止这种情况：

function MyCtrl($scope, $sce) {
  $scope.getBookmarklet = function() {
     return $sce.trustAsUrl('javascript:alert(1)');
  }
}

但是，我的网址仍然是“不安全”的前缀。我也尝试过trustAsJs，没有运气。我不想在我的应用程序中使用compileProvider将javascript：URL列入白名单，只允许这一个实例。

Answer 1

我遇到了这个问题，并且能够使用$sce.trustAsHtml()来解决这个问题。

JS：

function MyCtrl($scope, $sce) {
  $scope.getBookmarklet = function() {
    return $sce.trustAsHtml('<a href="javascript:alert(1)">Bookmarklet</a>');
  }
}

HTML：

<ng-bind-html ng-bind-html="::getBookmarklet()"></ng-bind-html>

这可能会引起CSS和其他指令的问题，但这些问题通常可以解决。

Angular sce.trustAsUrl和javascript hrefs

1 个答案: