【发布时间】:2019-02-25 12:41:11
【问题描述】:
我需要保护我的数据免受 xss 漏洞的影响。
我是否需要仅在我也使用ng-bind-html 或其他情况下才需要使用ngsanitize?
【问题讨论】:
标签: javascript html xss
【发布时间】:2019-02-25 12:41:11
【问题描述】:
您不必清理您知道是安全的数据。要明确信任一个值,您可以使用 $sce.trustAsHtml(value)
如果 $sanitize 服务不可用并且绑定的值没有被明确信任,您将遇到异常(而不是漏洞利用)。
来源:https://docs.angularjs.org/api/ng/directive/ngBindHtml
编辑:
NgSanitize 会转义您的数据,以便您可以安全地将其呈现在您的 html 页面上。它可以防止在您的页面上执行任何恶意注入的代码。这涉及动态数据和用户输入(表单、url 参数……)。静态内容不需要清理。您可以在此处找到有用的用法示例:What is the purpose of angular-sanitize ?
没有 ng-bind-html,你就不需要 ng-sanitize。只要您的页面上没有呈现任何其他动态数据或用户输入。
【讨论】:
-
如果我不使用 ngbindhtml 那么我是否需要使用 ngsanitize。我想知道的主要事情是我应该在什么条件下使用这种 html 净化。你能告诉我任何来源,以便更清楚地了解 html 的清理。