需要帮助才能理解data-ng-bind-html。 这样做总是安全的:
<div data-ng-bind-html="pageHtml"></div>
如果pageHtml来自用户和竞争脚本,甚至只是可以更改页面的HTML代码,会发生什么?
答案 0 :(得分:0)
如果你在这里查看https://docs.angularjs.org/api/ng/directive/ngBindHtml你将进入$ sanitaze,sanitazor会运行代码并删除可能的注入和不安全的内容,如脚本或js执行,但毕竟我建议:{{ 1}}