对于前后台分离开发,在使用angular为开发框架的时候,如果后台在返回数据的时候包含html格式的数据, angularJS在进行数据绑定时默认是会以文本的形式输出,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止了html标签中的注入攻击,但是这样就无法正确显示数据,解决肯定是要对html格式的数据进行转义,具体做法是:
1、要在数据绑定的html标签中使用ng-bind-html属性:
html : <span ng-controller="myCtr" ng-bind-html = "htmlStr"></span>
2、属性依赖与$sanitize,也就是需要引入angular-sanitize.js文件,并在module定义时注入该服务ngSanitize。
javascript : angular.module('app', ['ng']).controller('myCtr', function ($scope){
$scope.htmlStr = '<p style="color:red;font-size=18px;"></p>';
})
这样可以实现html转义,但有个问题就是style这种标签会被angularJS认为是不安全的所以统统自动过滤掉,而为了保留这些就需要开启非安全模式。
以上只是静态的去绑定,而开发的页面是一般通过自定义service中的$http异步加载获取数据,然后在success事件中为$scope绑定数据列表,而在模板中则使用<div ng-repeat="article in articles">...</div>由angularJS自动循环生成,那么问题来了,如何让自动加载的数据转义html标签呢。实际上还是用以上的方法,具体如下:
3、绑定过滤方法,注册ngSanitize
html:<div ng-repeat="article in articles">
<div class="panel-heading">
<h4><b>{{article.title}}</b></h4>
</div>
<div class="panel-body">
<article id="word-display" ng-bind-html="article.content | trustHtml"></article>
</div>
</div>
javascript : angular.module('app', ['ng','ngSanitize']).
controller('myCtr', function ($scope){//ngSanitize解析html标签
....
}).filter('trustHtml', function ($sce) { //解析html标签中style样式
return function (input) {
return $sce.trustAsHtml(input);
}
});
其中$sce是angularJS自带的安全处理模块,$sce.trustAsHtml(input)方法便是将数据内容以html的形式进行解析并返回。将此过滤器添加到ng-bind-html所绑定的数据中,便实现了在数据加载时对于html标签的自动转义.
参考文档:http://blog.csdn.net/thc1987/article/details/51509001