我有一个angularjs模板,看起来与此类似:
<img ng:src="/resources/{{id}}/thumbnail" />
但是,这会导致$
interpolate:noconcat错误
。与此模板相反:
<img ng:src="{{fullUrl}}" />
甚至:
<img ng:src="{{id|createThumbnailURL}}" />
(其中createThumbnailURL是一个简单的过滤器,它执行与上述相同的隐含条件)完全可以正常工作。
该文档说:
串联表达式使人们很难推理串联值的某种组合是否不安全使用并且很容易导致XSS。
是的,静态URL总是比串联URL更容易评估,我明白了这一点。但是,拥有REST-API的URL可以通过简单的串联来构造,并且必须在 某种程度上
进行串联对我来说并不罕见。我可以在控制器甚至服务器端执行此操作,但是 如何改善将串联移动到其他位置的功能呢? 而
什么是解决这个问题的推荐的方法?
更新
这是该错误的演示:http : //cipher-
code.de/tmp/angular3/index.xhtml
也许与页面是XML有关。
这称为SCE(严格上下文转义): 与许多“严格”模式一样,这是可配置的。但是从V 1.2开始,它将自动设置为true。
更具体地说,在Angular认为容易受到攻击的情况下(如url),允许的插值较少(严格性)。您的URL串联被“清除”。
您已经知道原因: XSS攻击 。它也用于保护开发人员:稍微错误的url可能会导致数据删除或覆盖。
您可能会感到困惑,为什么全字符串内插ng:src="{{fullUrl}}"
比字符串串联安全得多ng:src="/resources/{{id}}/thumbnail"
。TBH,我不确定两者之间是否存在重大差异,但这只是判断。
您可以使用其他方法来解决这种烦恼:
1) 将您的网址结构包装在里面$sce.trustAs()
<img ng:src="sce.trustAs('url', '/resources/{{id}}/thumbnail')" />
2) 如果选择,您可以在整个应用程序中禁用SCE
angular.module('myApp').config(function($sceProvider) {
$sceProvider.enabled(false);
});
更正:
您不能从指令调用$ sce服务。仅$ scope服务可直接使用。但是您可以使用函数(或使用函数的指令)。
$scope.createUrl = function (strName) {
var truststring = '/resources/' + strName + '/thumbnail';
return truststring;
}
和您的指令调用看起来像
<img ng:src="{{ createUrl(id) }}" />
在这种情况下,如果将串联包装在一个函数中,则可能甚至不需要取消其消毒处理,因为您不会违反SCE规则。
我创建了这个界面: 我将其用作可观察对象,并将其作为传递到: 我可以看到使用JSON管道打印的值: 绑定到特定属性时,不显示任何内容(仅显示空字符串):
网防G01兼容大多数的杀毒软件。 网防G01兼容大多数市面上的防篡改产品。 网防G01兼容大多数的主机加固产品。 网防G01兼容大多数的WAF和防火墙产品。
首先要明确一点的是,没有最好,只有最合适。前端框架并不是所谓 注:本文一些数据收集时间为16-12-31 因为大部分教程都是付费的,所以教程数量的多少在侧面反映了框架的市场需求,如果框架冷门用的人不多,那必然不会有人去为其开发教程。
问题内容: 我有以下Ecma-Script-6代码 输出如下: 和 我已经能够在此处将字符串串联起来,那么使用模板文字的情形将是什么? 问题答案: 如果像问题示例中那样仅将模板文字与占位符(例如)一起使用,则结果与串联字符串相同。从主观上讲,它看起来更好并且更易于阅读,尤其是对于多行字符串或包含这两者的字符串,因为您不必再转义那些字符了。 可读性是一个很棒的功能,但是关于模板最有趣的是Tagg
我有以下ECMAScript 6模板文字的代码: 输出如下所示: 这是小提琴。 我试图寻找确切的区别,但我找不到,以下两种说法有什么区别? 和 我已经能够在这里获得与< code>person.name连接的字符串< code>MyVar,那么在什么场景中使用模板文字呢?
问题内容: 我有以下模板: 我在执行模板时传递了一个字符串。 但是,出现以下错误: 如何比较模板中的字符串? 问题答案: 是函数,而不是运算符。它以以下形式调用:(不是)。 您可以通过将操作数从的侧面移动到之后来修复模板: