关于angularJS绑定数据时自动转义html标签

最新推荐文章于 2024-11-05 15:26:40 发布
最新推荐文章于 2024-11-05 15:26:40 发布
阅读量62 收藏
点赞数
文章标签: javascript 数据库 ViewUI
原文链接:http://www.cnblogs.com/shumin/p/5336641.html
版权
折磨了好久,最后发现答案如此简单。
angularJS在进行数据绑定时默认是会以文本的形式输出,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止了html标签中的注入攻击,但有些时候还是需要的,特别是从数据库读取带格式的文本时,无法正常的显示在页面中。
 
那么我们怎样输出 $scope.value="<a>我是链接</a>" 这样的标签呢?
很显然 要对html进行转义,需要在数据绑定html的标签中使用 ng-bind-html属性,该属性依赖$sanitzie,
所以需要引入angular-sanitzie.js文件,并在module注入ngSanitzie。
 
 
这样就能实现对标签的转义
如果细心的朋友就会发现test里面的 style="" 无法正常转义
因为style这种标签会被angular认为是不安全的所以统统自动过滤掉了。
以上的方式只能实现静态的绑定,无法转义style。
如果需要动态的数据绑定,和需要style标签就没办法解决了。
没办法 只能继续研究,最终解决办法如下
 
 
 
其中$sce是angular自带的安全处理模块,$sce.trustAsHtml(input) 方法就是将内容以html
的方法返回。
 

转载于:https://www.cnblogs.com/shumin/p/5336641.html

weixin_30367873
关注
angular js 在html获取数据,angularjs 中获取数据自动解析成html标记(转)
weixin_28839439的博客
06-07 625
关于angularJS绑定数据自动转义html标签折磨了两天,最后发现答案竟如此简单,不过辛苦还是值得的,毕竟为了弄明白这一点又学习了更多代码。angularJS在进行数据绑定默认是会以文本的形式输出,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止了html标签中的注入攻击,但有些候还是需要的,特别是从数据库读取带格式的文本,无法正常的显示在页面中。而要对html...
使用AngularJS中的SCE来防止XSS攻击的方法
12-07
在这个例子中,`helloMessage`的值会被自动转码为纯文本,即使其中包含了HTML标签,它们也会被解析为文本而不是执行。 然而,有我们需要在页面上安全地显示用户输入的HTML内容,但又需要避免潜在的XSS风险。这...
AngularJsAngular双向数据绑定
热门推荐
唐Ian的博客
08-11 2万+
1、什么是双向数据绑定双向数据绑定Angular实现了双向绑定机制。所谓的双向绑定,无非是从界面的操作能实反映到数据数据的变更能实展现到界面。即数据模型(Module)和视图(View)之间的双向绑定。例子:<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <script src="http://apps.bdimg.com/li
Angular数据文本绑定绑定Html绑定属性、双向数据绑定的实现方式
BADAO_LIUMANG_QIZHI的博客
04-24 570
场景 Angular介绍、安装Angular Cli、创建Angular项目入门教程: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/105570017 Angular新建组件以及组件之间的调用: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/1056...
Angular语法(三)——数据绑定
weixin_34375251的博客
03-01 125
绑定类型 绑定类型可以按照数据流的方向分为三类:从源到视图,从视图到源,以及双向序列 示例 <!-- Bind button disabled state to `isUnchanged` property --> <button [disabled]="isUnchanged">Save</button> 绑定对象 Property b...
【笔记】AngularJs学习笔记[01] 数据绑定
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
11-16 1013
数据绑定是指仅声明界面的某一部分映射到js的属性,让他们自动同步。语法: //声明一个叫name的变量,然后可以引用 name引用: 例如: //这个字符串会被name的值替换注意:ng将模版进行了动态实创建,用于代替视图,这也区别于在backbonejs中是将数据模版组合在一起来形成view。这也是ng中最重要的功能之一 ——“动态、实更新“。现在我们来说说实现步骤: 1、在ht...
angular 更改显示与绑定数据格式转换
java_goodstudy的博客
12-21 1867
http://www.cnblogs.com/whitewolf/p/angular-input-box-format.html
详解Angular.js数据绑定自动转义html标签及内容
10-20
然而,为了防止XSS(跨站脚本)攻击,AngularJS默认会自动转义HTML标签,这意味着在数据绑定,任何HTML代码都会被视为纯文本,而不是作为可执行的标记。这在大多数情况下是安全的,但也限制了动态展示富文本内容的...
angularjs通过过滤器返回超链接的方法
10-17
`$sce.trustAsHtml`是AngularJS的安全上下文服务,用于标记HTML片段为可信,以便AngularJS不会自动转义它,从而允许浏览器将其解析为HTML。 在HTML模板中,我们可以这样使用这个过滤器: ```html <p ng-bind-...
Angular的多种数据绑定方式
材女的进击
08-05 1547
Angular 提供了多种数据绑定方式。绑定类型可以分为三类,按数据流的方向分为: 从数据源到视图 从视图到数据源 双向:视图到数据源到视图 绑定类型 语法 分类 插值 属性 Attribute CSS 类 样式 {{expression}} [target]="expression" bind-target="expression"
Angular动态绑定HTML文本
FE小白的进化之路
07-27 1万+
AngularJS输出变量使用{{}}花括号或者ng-bind命令,在进行数据绑定默认是以文本的形式输出,如果变量中有HTML标签的话,默认是不转义的,直接以标签的形式显示,这样防止了XSS脚本注入攻击。XSS攻击指的是通过对网页注入可执行客户端代码且成功地被浏览器执行,来达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可能会获取到用户的一些敏感信息、改变用户的体验、诱导用户等非法行
angularjs表达式中的HTML内容,如何不转义,直接表现为html元素
u010552788的专栏
03-18 7731
默认情况下,AngularJS对会对插值指令求职表达式(模型)中的任何HTML标记都进行转义,例如以下模型: $scope.msg = “hello,<b>world</b>!” <p>{{msg}}</p> 渲染过程会对b标签进行转义,他们会议纯文本显示而非标记; 插值指令会对模型中任意html内容进行转义,这是为了防止html注入攻击。 如果因为某种理由,包含htm
如何让在Html中特殊字符被数据加载对于html标签自动转义 补充
weixin_34007879的博客
02-22 758
1、将此过滤器添加到ng-bind-html绑定数据中,便实现了在数据加载对于html标签自动转义。 &lt;div ng-repeat="item in list" &gt; &lt;div ng-bind-html="item.content |trustHtml"&gt;&lt;/div&gt; &lt;/div&gt; 2.项目中如果ng-repeat = “i...
一些常用的react hooks以及各自的作用
weixin_48602044的博客
11-01 461
关于react hooks的一些知识与应用
JavaScript 生成二维码
qq_30049249的博客
11-02 243
我试过了,这一款js库支持中英文混合。进入网站后,可以直接点击运行哟~
软件测试学习笔记丨Vue常用指令-条件渲染(v-if)
最新发布
ceshiren_com的博客
11-05 501
v-show只是简单控制dom元素的display属性。v-if通过操纵dom元素来进行切换显示。
vxe-grid ,增加新行,并且定位到新增的行
花花鱼的专栏
11-05 178
vxe-grid新增空行,并且定位到空行位置。
Vue2+3
m0_73557953的博客
11-04 120
创建Vue实例 Vue指令
th:text 转义html标签
06-15
在 Thymeleaf 中,使用 th:text 属性设置文本,会自动对文本进行 HTML 转义,以避免 XSS 攻击。但有候我们需要在页面上显示 HTML 标签,而不是将其解释为文本。这可以使用 th:utext 属性,它会将文本作为 HTML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值