Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/angular/30.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码_Javascript_Angular_Xss - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码

Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码

javascript angular

Javascript XSS:$sce.trustAsHtml执行<;img>';onerror';js代码,javascript,angular,xss,Javascript,Angular,Xss,我正在尝试使用ng bind html和$sce.trustAsHtml防止执行不安全的内容 但是,如果我在标记中放入一些js(例如onerror=“alert(123)”),它正在执行不安全的内容 var-app=angular.module('app',[]); 应用程序控制器('test',函数($scope,$sce,$timeout){ $scope.text=$sce.trustAsHtml('onLoad'+'onError'+'onClick'); }); HTML的运行时绑

我正在尝试使用ng bind html和$sce.trustAsHtml防止执行不安全的内容

但是,如果我在标记中放入一些js(例如onerror=“alert(123)”),它正在执行不安全的内容

var-app=angular.module('app',[]);
应用程序控制器('test',函数($scope,$sce,$timeout){
$scope.text=$sce.trustAsHtml('
    onLoad
'+'
    onError
      '+'
        onClick
      ');
});

      
HTML的运行时绑定

      请参阅:
      
对于您知道安全的值,您也可以绕过消毒。为此,请通过$sce.trustAsHtml绑定到显式受信任的值
      

      trustAsHtml
      与您想要的正好相反。不要在这里使用它