2
我一直在研究Angular JS上的XSS,发现ng-bind和ng-bind-html可以防止XSS对服务器站点中已经由html-encode编码的任意用户输入。这是如何工作的?有没有办法通过这样的XSS可以执行?ng-bind和ng-bind-html如何防止XSS?
我一直在研究Angular JS上的XSS,发现ng-bind和ng-bind-html可以防止XSS对服务器站点中已经由html-encode编码的任意用户输入。这是如何工作的?有没有办法通过这样的XSS可以执行?ng-bind和ng-bind-html如何防止XSS?
ng-bind-html
用法$sce.getTrustedHtml来清理传递的html。