`
jimolangyaleng
  • 浏览: 5755 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

angularJs之$sce

阅读更多

AngularJS里好些地方,比如路径默认是个字符串,不会认为是路径,从而访问不到我们需要的东西,那么我们就可以通过$sce告诉angualrJS这个路径,这样是很安全的。它有以下几种:

 

$sce.trustAs(type,name);
$sce.trustAsUrl(value);
$sce.trustAsHtml(value);
$sce.trustAsResourceUrl(value);
$sce.trustAsJs(value);

 应用实例:

1、trustAsResourceUrl

<html>
<head>
<meta charset="utf-8">
<script src="http://apps.bdimg.com/libs/angular.js/1.4.6/angular.min.js"></script> 
</head>
<body>

<div ng-app="myApp" ng-controller="myCtrl">
    第一种方式:<br/>
    有$sce处理:<audio  ng-src="{{sceControl(formData.mediaUrl)}}"  controls="controls">您的浏览器不支持html5</audio><br/>
    无$sce处理:<audio  ng-src="{{formData.mediaUrl}}"  controls="controls">您的浏览器不支持html5</audio><br/><br/>

    第二种方式:<br/>
    <audio  ng-src="{{data.url}}"  controls="controls">您的浏览器不支持html5</audio>
</div>

<script>
    var app = angular.module('myApp', []);
    app.controller('myCtrl', function($scope,$sce){
        //第一种方式数据源
        $scope.formData={
            "name":"视频",
            "mediaUrl":"http://res.audiogroup.cn/res/upload/agx_ims_creative/audio/20160307/bpryk96.mp3"//视频路径
        };      
        $scope.sceControl = $sce.trustAsResourceUrl;//第一种处理方式

        //第二种方式数据源
        $scope.data={
            "name":"视频",
            "url":"http://res.audiogroup.cn/res/upload/agx_ims_creative/audio/20160307/bpryk96.mp3"//视频路径
        };  
        $scope.data.url = $sce.trustAsResourceUrl($scope.data.url);//第二种处理方式

    });
</script>
</body>
</html>

 2、trustAsHtml

<body>
<div ng-app="myApp" ng-controller="myCtrl">
    未处理的:
    <div ng-repeat="item in formData">
        {{item.name}} :{{item.htmlVal}}
    </div>

    <br/>处理过的:<button ng-click="look()">查看处理结果</button>
    <div ng-repeat="item in data">
        {{item.name}} :<p ng-bind-html = "item.htmlVal"></p>
    </div>
</div>

<script>
    var app = angular.module('myApp', []);
    app.controller('myCtrl', function($scope,$sce){
        //未处理数据源
        $scope.formData=[
            {"name":"张春玲","htmlVal":"我是<span style='color:red;'>张春玲<span>"},
            {"name":"sb","htmlVal":"我是<span style='color:red;'>sb<span>"}
        ];  

        //处理结果
        $scope.look = function(){
            $scope.data=[
                {"name":"张春玲","htmlVal":"我是<span style='color:red;'>张春玲<span>"},
                {"name":"sb","htmlVal":"我是<span style='color:red;'>sb<span>"}
            ];
            for(var i=0;i<$scope.data.length;i++){
                $scope.data[i].htmlVal = $sce.trustAsHtml($scope.data[i].htmlVal);
            }
        };

    });
</script>
</body>

 

 

分享到:
评论

相关推荐

    深究AngularJS中$sce的使用

    在AngularJS中,$sce(Strict Contextual Escaping,严格上下文转义)是一个核心服务,用于确保在模板中动态插入的内容是安全的。它主要用于处理和展示可能包含恶意代码的数据,例如HTML、JavaScript、资源URL等。...

    AngularJS 使用$sce控制代码安全检查

    在AngularJS中,$sce(Strict Contextual Escaping)是一项关键的安全特性,它用于确保在应用程序中渲染的外部内容是安全的,防止潜在的跨站脚本(XSS)攻击。SCE服务的主要目的是在AngularJS环境中强制执行一种安全...

    详解AngularJs中$sce与$sceDelegate上下文转义服务

    严格的上下文转义(SCE)是一种需要在一定的语境中导致AngularJS绑定值被标记为安全使用语境的模式。由用户通过ng-bind-html绑定任意HTML语句就是这方面的一个例子。我们称这些上下文转义为特权或者SCE。 二、$sce $...

    对angularJs中$sce服务安全显示html文本的实例

    在AngularJS中,$sce服务(Strict Contextual Escaping,严格上下文转义)是用于防止在不信任的上下文中执行不安全的代码,从而可能导致XSS(跨站脚本攻击)。$sce服务通过严格控制代码的可信度来保证应用的安全性,...

    AngularJS通过$sce输出html的方法

    AngularJS的强大之处之一就是他的数据双向绑定功能—–&gt;ng-bind和针对form的ng-model 但在我们的项目当中会遇到这样的情况,后台返回的数据中带有各种各样的html标签 AngularJS输出html的时候,浏览器并不解析这些...

    使用AngularJS中的SCE来防止XSS攻击的方法

    AngularJS为此提供了一种名为SCE(Strict Contextual Escaping,严格上下文转义)的机制,它通过$sceProvider和服务来帮助开发者处理不安全的内容。 首先,我们来看如何全部转码HTML。AngularJS默认会阻止内联...

    深入理解AngularJS中的ng-bind-html指令和$sce服务

    在AngularJS中,数据绑定是其核心特性之一,使得开发者能够轻松地在视图和模型之间同步数据。本文主要探讨的是在处理包含HTML标签的数据时,如何利用`ng-bind-html`指令和`$sce`(Strict Contextual Escaping,严格...

    详解angular用$sce服务来过滤HTML标签

    在AngularJS中,数据绑定是其核心特性之一,允许开发者轻松地将模型数据与视图进行同步。然而,当涉及到动态加载的HTML内容时,直接使用`ng-bind`或`ng-model`可能会引入安全问题,因为这可能导致XSS(跨站脚本)...

    最新AngularJS开发宝典视频教程 后盾网AngularJS培训视频教程 后盾网.txt

    ├最新AngularJS开发宝典—第064讲 $sce服务安全的处理html数据.mp4 ├最新AngularJS开发宝典—第065讲 $cacheFactory的缓存实例讲解.mp4 ├最新AngularJS开发宝典—第066讲 $http服务获取后台数据.mp4 ├最新...

    AngularJs的UI组件ui-Bootstrap之Tooltip和Popover

    (2)uib-tooltip-html 定义提示的html字符串,该字符串不会编译为html内容(需要使用$sce.trustAsHtml编译为html内容)。需要注意内容安全,防止脚本攻击 (3)uib-tooltip-template 定义提示的html内容,该内容...

    AngularJS iframe跨域打开内容时报错误的解决办法

    在这个场景中,我们讨论的是如何在AngularJS中使用`iframe`元素加载来自不同源的内容,而不会触发浏览器的安全策略限制,即`$sce`(Strict Contextual Escaping)服务的限制。 `iframe`元素常被用来嵌入外部网页...

    AngularJS动态绑定HTML的方法分析

    为了防止这种安全问题,AngularJS引入了$sce服务。通过$sce.trustAsHtml方法,开发者可以标记一个字符串为可信的HTML,AngularJS才会将其渲染到页面上。如果不进行这样的处理,当尝试绑定不安全的HTML内容时,...

    AngularJS中取消对HTML片段转义的方法例子

    1. 首先,引入AngularJS的安全上下文服务($sce)作为依赖注入。在控制器中,我们将其添加到函数参数列表中,如`function ($scope, $http, $sce) {...}`。 2. 在`syncPosts`方法中,我们向Rails API发起GET请求获取...

    angularjs中ng-bind-html的用法总结

    最后,在文章中提供了一个简单的代码示例,演示了如何创建一个AngularJS模块,引入ngSanitize模块,设置控制器,并利用$sce服务和$sanitize服务将带有HTML标签的内容插入到视图中。通过这个示例,我们可以看到在使用...

Global site tag (gtag.js) - Google Analytics