我有一个AngularJS应用程序(Angular版本1.6.4),该应用程序使用输入字段将URL(可由用户更改)绑定到模型。外观如下:
<input ng-model="connectorService.url">
此URL随后将保存到后端,并在刷新页面后立即从那里重新加载。我试图通过处理在后端设置URL的POST请求来做一些XSS。
我在输入中输入了<script>alert("XSS");</script>
,并已正确设置(通过从后端手动请求进行验证)。重新加载页面时,输入字段包含XSS,但未执行。我究竟做错了什么? AngularJS 1.6.4仍有沙箱吗?
答案 0 :(得分:0)
AngularJS 1.6.4仍然有一个沙箱吗?
否,AngularJS 1.6删除了表达式沙箱
从文档中:
[V1.6]的另一个主要更改是删除了表达式沙箱。这不需要更改应用程序(可能会带来一些性能提升),但是我们强烈建议您阅读Sandbox Removal Blog Post,以了解删除操作背后的含义以及您是否需要采取任何措施。
有关其他信息,请参见