Question

我在服务器端使用AntiXss Encoder进行XSS攻击，因此所有响应都包含html unescape字符，如“＆amp; lt：script＆amp; gt：alert（1）;＆amp; lt：/ script＆amp; gt：”（替换';'为'：'）

关于绑定我使用sanitize和 ng-bind-html 没有问题。更新模式还有另一个控制输入。当用户需要更新文本时，他们点击更新图标然后我显示textarea并隐藏带有 ng-if 的绑定标签。 textarea有 ng-model attr。我不能逃脱textarea上的html字符，如 ng-bind-html 这里是片段请帮助我变得狡猾..

小提琴;编辑模式textarea必须显示“＆lt; script＆gt; alert（1）;＆lt; / script＆gt; ”，没有任何警报操作，并且数据将被发送到服务器也必须显示相同...

here is the fiddle

Mammal

var app = angular.module('myApp',['ngSanitize']);

app.controller('MyCtrl', function($scope, $sce, $sanitize) {
    $scope.post1 = "&lt;script&gt;alert(1);&lt;/script&gt;";
    //$scope.post2 = $sce.parseAsHtml("<h1>alert(1)</h1>");
    $scope.logs = ["log created"];
    $scope.log = function(val){
    	$scope.logs.push(val);
    }
});

.label {
  text-decoration:underline;
  color:red;
}

angularjs sanitize与ng-model无法正常工作

0 个答案: