<input>字段中的AngularJS XSS

时间:2019-10-17 19:28:36

标签: angularjs xss

我有一个AngularJS应用程序(Angular版本1.6.4),该应用程序使用输入字段将URL(可由用户更改)绑定到模型。外观如下:

<input ng-model="connectorService.url">

此URL随后将保存到后端,并在刷新页面后立即从那里重新加载。我试图通过处理在后端设置URL的POST请求来做一些XSS。

我在输入中输入了<script>alert("XSS");</script>,并已正确设置(通过从后端手动请求进行验证)。重新加载页面时,输入字段包含XSS,但未执行。我究竟做错了什么? AngularJS 1.6.4仍有沙箱吗?

1 个答案:

答案 0 :(得分:0)

  

AngularJS 1.6.4仍然有一个沙箱吗?

否,AngularJS 1.6删除了表达式沙箱

从文档中:

  

[V1.6]的另一个主要更改是删除了表达式沙箱。这不需要更改应用程序(可能会带来一些性能提升),但是我们强烈建议您阅读Sandbox Removal Blog Post,以了解删除操作背后的含义以及您是否需要采取任何措施。

     

AngularJS Developer Guide - Migrating to V1.6

有关其他信息,请参见