2
在角的js文件的安全性是使用$腕錶觀看的用戶的值寫入生成的內容是不安全的:
有一些是模板和表達式可以控制方式:...
傳入呼叫從用戶提供的內容,以產生一個上範圍以下方法的表達式: ...
$觀看(userContent,...)
userContent在這裏有什麼含義?如果我看用戶輸入字段的ngModel值,這是一個userContent嗎?小提琴中的形式不安全?
A
回答
0
以$看你可以保持眼睛上的任何NG-模型。例如,如果您有1個圖表,那麼您的年至今,月初至今,季度到目前爲止的下拉列表。 現在說,下拉型號名稱是dateChange 現在你可以保持一個手錶上dateChange所以所以每當有在dateChange更新,$監控功能會知道,然後你可以更新圖表相對於數據到選擇
+0
我知道'$ watch'用於什麼!我想知道'$ watch'不良使用的用例是什麼,它會將您的應用程序打開到XSS攻擊。 – Rachmaninoff
3
$watch表達限制的eval,其中表達是由AngularJS表達解析器解析和針對當前範圍評價的形式。
雖然AngularJS表達式解析器有保障措施,防止任意評估JS代碼與真正的eval,安全隱患仍然可能存在,並且已知的漏洞可以在舊的框架版本中潛在的利用。
這意味着$on.constructor('alert(1)')()表達無法進行評估,並不會產生任何向上的最新版本AngularJS安全威脅。但考慮到$window服務暴露於範圍(其是用於ES6控制器一種常見的做法),$window.alert(1)表達進行評估。
這不能構成安全威脅:
$scope.$watch('myValue', function() {
console.log($scope.myValue);
});
這可以構成安全威脅:
$scope.$watch($scope.myValue, function() {
console.log($scope.myValue);
});
+0
感謝您的回答,如果我將'myVar'綁定到文本輸入字段並且用戶輸入了一些javascript,它會導致問題? – Rachmaninoff
+0
它是安全的,只要你做'$腕錶( 'myVar的',...)'和'不看$($ scope.myVar,...)'(這不會有理想的效果任何方式)。 – estus
+0
我們有很多'$腕錶($ scope.myVar,...)的'在我們的應用程序應該怎樣現在? – Rachmaninoff
相關問題
- 1. 如何在angularjs組件中使用$ watch
- 2. 如何重置「$ timeout」,並禁用「$ watch()」angularJS?
- 3. $ watch不叫,Angularjs
- 4. 使用$ watch兩個變量angularjs
- 5. AngularJS watch FileReader()。readyState change
- 6. 如何使用gulp-watch?
- 7. AngularJS $ watch newValue未定義
- 8. AngularJS - 觸發$ watch/$觀察者
- 9. angularjs防止XSS攻擊
- 10. AWS Cognito用戶羣如何抵禦暴力破解攻擊
- 11. 如何使用$ scope。$ watch和ng-repeat?
- 12. 如何在Kubernetes中使用Watch API
- 13. ng build --watch破解重建過程
- 14. XSS攻擊中的破碎圖像
- 15. 在默認情況下使用$ watch的Angularjs中的'IsolateScope'?
- 16. AngularJS指令$ watch雙向綁定
- 17. AngularJS。將$ watch添加到特定型號
- 18. 如何使用cgywin安裝圍攻?
- 19. AngularJS,更改動畫:指令$ watch不叫
- 20. 如何使用angularjs
- 21. 如何使用AngularJS
- 22. 如何使用AngularJS
- 23. 如何使用angularJS
- 24. 如何使用angularjs
- 25. 如何使用angularjs
- 26. 如何使用angularJs
- 27. 如何使用angularjs
- 28. 如何使用AngularJS
- 29. 如何使用AngularJs
- 30. 如何使用angularJS
這裏的jsfiddle:https://jsfiddle.net/un55cprk/ – user1131522