Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码
我正在尝试使用ng bind html和$sce.trustAsHtml防止执行不安全的内容 但是,如果我在标记中放入一些js(例如onerror=“alert(123)”),它正在执行不安全的内容Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码,javascript,angular,xss,Javascript,Angular,Xss,我正在尝试使用ng bind html和$sce.trustAsHtml防止执行不安全的内容 但是,如果我在标记中放入一些js(例如onerror=“alert(123)”),它正在执行不安全的内容 var-app=angular.module('app',[]); 应用程序控制器('test',函数($scope,$sce,$timeout){ $scope.text=$sce.trustAsHtml('onLoad'+'onError'+'onClick'); }); HTML的运行时绑
var-app=angular.module('app',[]);
应用程序控制器('test',函数($scope,$sce,$timeout){
$scope.text=$sce.trustAsHtml('onLoad
'+'onError'+'onClick
');
});代码>
HTML的运行时绑定
请参阅:
对于您知道安全的值,您也可以绕过消毒。为此,请通过$sce.trustAsHtml绑定到显式受信任的值
trustAsHtml
与您想要的正好相反。不要在这里使用它