<h3 _ngcontent-c4="" class="project-name">"Sometest"</h3><script>alert('xss');</script><h3>test</h3>
我尝试在自己的项目中使用XSS漏洞。但是它不会以某种方式被触发。
有什么想法吗?
答案 0 :(得分:0)
script标签。由HTMLSanitizer完成。这是XSS防护功能。
Angular默认将所有值视为不可信。当一个值是 通过属性,属性,样式从模板插入DOM, 类绑定或插值,Angular清除并转义 不可信的价值观。
可能但不鼓励注入不受信任的内容
https://stackoverflow.com/a/44904601/1527544
https://netbasal.com/angular-2-security-the-domsanitizer-service-2202c83bd90