我们有一个文本输入,该文本输入绑定到角度控制器中的变量。
<input type="text" class="form-control" ng-model="activityTypeStatement.InformationText" />
没有其他绑定,控制器上没有ng-watch,但是每当我在其中粘贴或编写一些js代码时,它便会立即执行而无需提交任何内容。这是我正在尝试解决的可能的XSS漏洞。
执行代码的场景;
粘贴<script>alert(1)</script>
键入<script>alert(1)(在关闭标签之前执行,我发现这很可疑)
首先键入alert(1),然后再添加<script>
我曾考虑过为输入设置ng-watch并在输入值上使用ng-sanitize,但是由于它执行时无需提交,因此我不确定是否可行。
在对象声明中仅提及控制器上的InformationText。
如何确保在此字段中输入的内容不会引起XSS攻击?