AngularJS ng-bind-html-unsafe替代方案

Question

5 浏览2023年4月14日

匿名的 2023年4月14日

0 Comments

以前我可以使用ng-bind-html-unsafe来输出未经过净化的代码（因为净化是在服务器端进行的）。

但现在这个选项消失了？我知道我可以使用$sce.trustAsHtml，但是在JavaScript中随处添加这个函数非常麻烦，因为使用unsafe是如此简单。

我该如何恢复unsafe的功能？

0

3 答案

匿名的 · Answer 1 · 2023-06-10T16:36:11+00:00

AngularJS ng-bind-html-unsafe替代方案的出现是因为原先的ng-bind-html指令存在安全性问题。具体原因是ng-bind-html指令在渲染HTML内容时没有进行安全性检查，可能会导致XSS攻击。为了解决这个问题，开发者提出了一个替代方案，即使用自定义的过滤器来过滤HTML内容并确保安全。

解决方法是创建一个名为unsafe的过滤器，并注入$sce服务。过滤器的作用是将HTML内容信任转换为可信任的HTML，以确保安全性。具体代码如下：

App.filter('unsafe', ['$sce', function ($sce) {
    return function (val) {
        return $sce.trustAsHtml(val);
    };
}]);

使用时，可以在ng-bind-html指令中使用该过滤器，将要显示的HTML内容进行过滤。具体代码如下：

<any ng-bind-html="content | unsafe"></any>

需要注意的是，使用该替代方案时，确保你信任要显示的HTML内容，以避免安全漏洞。

关于HTML绑定的更多信息，请参考官方文档：https://docs.angularjs.org/api/ng/directive/ngBindHtml

需要注意的是，使用ng-bind-html-unsafe替代方案时，要确保你信任要显示的HTML内容，以避免安全漏洞。

匿名的 · Answer 2 · 2023-04-14T00:36:03+00:00

问题的出现原因：

问题的出现是因为AngularJS在1.2版本中移除了ng-bind-html-unsafe指令，这个指令允许将不经过转义的HTML内容绑定到页面上。移除这个指令的原因是为了提高安全性，防止用户无意中通过注入恶意代码来危害应用程序。

解决方法：

为了替代ng-bind-html-unsafe指令，可以创建自定义指令来实现相同的功能。下面是一个示例的自定义指令的代码：

指令：

app.directive('bindHtmlUnsafe', function( $compile ) {
    return function( $scope, $element, $attrs ) {
        var compile = function( newHTML ) { // 创建可重用的编译函数
            newHTML = $compile(newHTML)($scope); // 编译HTML
            $element.html('').append(newHTML); // 清空并添加HTML
        };
        var htmlName = $attrs.bindHtmlUnsafe; // 获取存储HTML的变量名
        $scope.$watch(htmlName, function( newHTML ) { // 监听HTML的变化
            if(!newHTML) return;
            compile(newHTML);   // 编译HTML
        });
    };
});

用法：

通过自定义指令bindHtmlUnsafe可以实现将不经过转义的HTML内容绑定到页面上。使用时只需要在HTML元素上添加bind-html-unsafe属性，并将要绑定的HTML内容的变量名作为属性的值即可。

通过创建自定义指令bindHtmlUnsafe，可以解决AngularJS移除ng-bind-html-unsafe指令带来的问题。通过这个自定义指令，可以将不经过转义的HTML内容安全地绑定到页面上，同时提高了应用程序的安全性。尽管这样的改变可能增加了一些开发工作量，但它在一定程度上保护了应用程序免受潜在的安全威胁。

匿名的 · Answer 3 · 2023-09-20T08:44:31+00:00

AngularJS ng-bind-html-unsafe replacement出现的原因是，AngularJS版本从1.2开始，移除了ng-bind-html-unsafe指令，这是因为该指令可能导致XSS攻击。因此，当需要在AngularJS中绑定包含HTML代码的内容时，需要找到一种替代ng-bind-html-unsafe的解决方法。

为了解决这个问题，可以使用自定义指令来替代ng-bind-html-unsafe。以下是一种简单的方法，不需要使用$sce服务：

module.directive('html', function() {
    function link(scope, element, attrs) {
        var update = function() {
            element.html(scope.html);
        }
        attrs.$observe('html', function(value) {
            update();
        });
    }
    return {
        link: link,
        scope:  {
            html:   '='
        }
    };
});

使用该指令的方法如下：

通过上述代码，我们定义了一个名为html的自定义指令。在该指令的link函数中，我们创建了一个update函数，用于更新元素的内容。然后，通过attrs.$observe监听html属性的变化，并在变化时调用update函数，以更新元素的内容。

通过这种方式，我们可以在AngularJS中安全地绑定包含HTML代码的内容，而不会引起XSS攻击的风险。