Angular:为什么此代码不会导致警报?

时间:2019-02-25 12:33:54

标签: angular xss

<h3 _ngcontent-c4="" class="project-name">"Sometest"</h3><script>alert('xss');</script><h3>test</h3>

我尝试在自己的项目中使用XSS漏洞。但是它不会以某种方式被触发。

有什么想法吗?

1 个答案:

答案 0 :(得分:0)

从组件标记中删除了

script标签。由HTMLSanitizer完成。这是XSS防护功能。

  

Angular默认将所有值视为不可信。当一个值是   通过属性,属性,样式从模板插入DOM,   类绑定或插值,Angular清除并转义   不可信的价值观。

可能但不鼓励注入不受信任的内容

https://stackoverflow.com/a/44904601/1527544

https://netbasal.com/angular-2-security-the-domsanitizer-service-2202c83bd90