1
是否有可能用angularjs(版本1.5.x)替換本地實現的$ sanitize函數與自定義實現將使用DOMPurify?
我的目標是能夠編寫ng-bind-html=value並在清理HTML時使用DOMPurify。
A
回答
2
您可以使用DOMPurity在呈現數據之前清理數據。如果是這樣,只是不要注入$sanitize。
在XSS安全方面(如您對其進行標記),注意DOMPurify is not made to work with AngularJS:
DOMPurify將不會阻止你XSS通過瘋狂的庫造成 特徵例如AngularJS了。我們實施了一種保護性外殼來防止jQuery-XSS,但不能覆蓋所有其他 庫。如果您使用的庫有瘋狂的XSS 漏洞,或者您不確定是否屬於這種情況,請聯繫我們 。也參見:JSMVCOMFG,mustache-security,jPurify
+1
我寧願DOMPurify被調用,即使在正在使用ng-bind-html指令,開發人員在呈現數據之前忘記調用DOMPurify – oldbam
相關問題
- 1. 用角度2的應用替換現有的MVC項目
- 2. 在rails中實現sanitize simple_format 2.3.8
- 3. 使用角度替換屬性
- 4. 現實CSS角度環視
- 5. 實現插件角度4
- 6. 如何在角度網絡應用上實現角度遊覽
- 7. 使用角度和rxjs實現輪詢
- 8. 的角度實現搜索與angular.copy
- 9. 如何用vim實現增加替換?
- 10. 如何用IHTMLTxtRange實現文本替換?
- 11. 用.NET實現替換C++ ActiveX組件?
- 12. 角度,習慣字符串替換?
- 13. 角度替代$ http
- 14. 如何實現角度UI屏蔽?
- 15. JavaScript - 用角碼替換jQuery $
- 16. 我將如何實現一個現有的角度主題超過MEAN.js
- 17. 實現在角
- 18. 在scikits.talkbox中替換Levinson實現
- 19. 實現字符串替換功能
- 20. std :: string ::替換標準實現?
- 21. 實現LRU頁面替換算法
- 22. 非角度替代「移動角度用戶界面」
- 23. 角度/角度材質:替換HTML滑塊不會更新其ng模型
- 24. 用於實現實用功能的角度良好設計模式
- 25. 使用api調用實現材質表角度
- 26. 帶有熱模塊替換的ASP.NET核心中的角度CLI
- 27. 如何使用角度2來實現基於ACL /角色的授權?
- 28. 用「template」替換「templateUrl」:路徑:用於使用gulp的角度指令的內容
- 29. 轉換角度以弧度
- 30. 替換即將被按需實例終止的現貨實例
使用[裝飾](https://docs.angularjs.org/guide/decorators)取代芯〔毫微克綁定-HTML指令(https://開頭docs.angularjs.org/api/ng/directive/ngBindHtml)使用DomPurify。有關更多信息,請參閱[AngularJS開發人員指南 - 如何使用裝飾器](https://docs.angularjs.org/guide/decorators#how-to-use-decorators) – georgeawg