Как предотвратить инъекцию / загрузку тега скрипта перед рендерингом html в angularjs?

Question

Как предотвратить инъекцию / загрузку тега скрипта перед рендерингом html в angularjs?

0

var testApp = angular.module('testApp',['ngSanitize']);
testApp.controller('TestController',function($scope,$sce){
	$scope.htmlString = "<span>Test HTML</span><script>alert('Hello Script');</script>";
	$scope.toTrusted = function(htmlContent) {
		if(htmlContent && htmlContent != "") {
			return $sce.trustAsHtml(htmlContent);			
		}
		return "";
	};
});

<html ng-app="testApp">
<body ng-controller="TestController">
	<div ng-bind-html="toTrusted(htmlString)"></div>
	<script src="http://ajax.googleapis.com/ajax/libs/angularjs/1.4.8/angular.min.js"></script>
	<script src="https://cdnjs.cloudflare.com/ajax/libs/angular.js/1.3.11/angular-sanitize.min.js"></script>
	<script type="text/javascript" src="resources/js/controllers/testController.js"></script>
</body>
</html>

Я использую ng-bind-html для строки рендеринга как html. Иногда я получаю скриптовый тег в строке html, и я не хочу вставлять/загружать тег script.So, что я должен сделать, чтобы предотвратить тег скрипта.

Я также искал решение этой проблемы, кто-то говорит, что просто удалите тег сценария из строки перед рендерингом html. Поэтому, пожалуйста, кто-нибудь подскажет мне. Каков лучший способ сделать это?

Я разрабатываю приложение для чата с помощью angularjs и firebase. И для передачи сообщений чата я использую директиву ng-bind-html. Что я заметил, что если пользователь отправляет скриптовый тег как часть сообщений чата, но при этом запускается сценарий. Так Я хочу ограничить запуск этого скрипта.

Gaurav Priyadarshi 27 июль 2016, в 21:13

Источник

0

Хорошо, я в замешательстве. Тег скрипта находится в вашей строке. Почему ты не можешь просто взять это?
Rani Radcliff 27 июль 2016, в 18:27
0

Вы должны очистить строку html, чтобы разрешить только ограниченное подмножество тегов.
Emile Bergeron 27 июль 2016, в 19:16
0

Я бы очистил все HTML-элементы и внедрил некоторую форму синтаксиса уценки для ваших сообщений чата. Делает это безопаснее, а также я считаю, что для таких вещей гораздо проще написать разметку (думаю, readme GitHub), чем HTML.
ste2425 27 июль 2016, в 19:21
0

Я разрабатываю приложение чата. Что я заметил, что если пользователь отправляет тег сценария как часть сообщений чата, но данный сценарий выполняется. Поэтому я хочу ограничить запуск этого сценария. Поэтому, пожалуйста, помогите мне, я буду очень благодарен вам.
Gaurav Priyadarshi 27 июль 2016, в 19:46

Показать ещё 2 комментария

Теги:

angularjs

1 ответ

Ещё вопросы

Хорошо, я в замешательстве. Тег скрипта находится в вашей строке. Почему ты не можешь просто взять это?
Вы должны очистить строку html, чтобы разрешить только ограниченное подмножество тегов.
Я бы очистил все HTML-элементы и внедрил некоторую форму синтаксиса уценки для ваших сообщений чата. Делает это безопаснее, а также я считаю, что для таких вещей гораздо проще написать разметку (думаю, readme GitHub), чем HTML.
Я разрабатываю приложение чата. Что я заметил, что если пользователь отправляет тег сценария как часть сообщений чата, но данный сценарий выполняется. Поэтому я хочу ограничить запуск этого сценария. Поэтому, пожалуйста, помогите мне, я буду очень благодарен вам.

Aditya Mantha · Answer 1 · 2016-07-27T17-58-00.000Z

Если вы используете $ sce.trustAsHtml, вам нужно использовать только ng-bind.

<div ng-bind="toTrusted(htmlString)"></div>

Попробуйте это и дайте мне знать.

Но Aditya мы не можем использовать директиву ng-bind, потому что директива ng-bind используется для замены текстового содержимого указанного HTML