angular-ngSanitize模块-$sanitize服务详解

最新推荐文章于 2019-12-19 11:46:39 发布
最新推荐文章于 2019-12-19 11:46:39 发布
阅读量232 收藏 1
点赞数
分类专栏: AngularJS 文章标签: angular javaScript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjxbj/article/details/84751112
版权

        本篇主要讲解angular中的$sanitize这个服务,此服务依赖于ngSanitize模块,要学习这个服务,先要了解另一个指令:ng-bing-html。

        顾名思义,ng-bind-html和ng-bind的区别就是:ng-bind把值作为字符串和元素的内容进行绑定,但是ng-bind-html把值作为html和元素的html进行绑定,相当于jq里面的.text()和.html()。

        但是出于安全考虑,如果我们直接使用ng-bind-html是会报错的,ng-bind-html后面的内容必须经过一定的处理。

        处理的方式有两种,一种是使用$sce服务,另一种就是使用$sanitize服务。sce即“Strict Contextual Escaping”的缩写,翻译成中文就是“严格的上下文模式”也可以理解为安全绑定。

        $sanitize会根绝一个白名单来净化html标签,这样不安全的内容就不会被返回。白名单是根据$compileProvider的aHrefSanitizationWhitelist和imgSrcSanitizationWhitelist函数得到的。 

实例:

<!DOCTYPE html>
<html ng-app="myApp">
<head>
  <title></title>
  <meta charset="utf-8">
  <script src="angular1.2.9.js"></script>
  <script src="angular-sanitize.js"></script>
  <script src="app.js"></script>
  <!-- <link type="text/css" href="../bootstrap.css" rel="stylesheet" /> -->
</head>
<body>
<div class="container">
  <table class="table table-bordered" ng-controller="ctrl">
    <caption>通过ngSanitize模块的$sanitize服务解析html</caption>
    <thead>
    <tr>
      <th>使用的指令</th>
      <th>格式化方法</th>
      <th>指令的写法</th>
      <th>解析结果</th>
    </tr>
    </thead>
    <tbody>
    <tr>
      <td>ng-bind-html</td>
      <td>使用内置的$sanitize <br/>(不需要出现在js里,只要模型添加了ngSanitize模块, <br/>然后使用ng-bind-html,它的值就自动通过$sanitize编译)</td>
      <td><pre>&lt;div ng-bind-html="myHtml"&gt;<br>&lt;/div&gt;</pre></td>
      <td><div ng-bind-html="myHtml"></div></td>
    </tr>
    <tr>
      <td>ng-bind-html</td>
      <td>使用$sce的trustAsHtml方法编译<br/>(以后会细讲$sce服务,这里不是重点)</td>
      <td><pre>&lt;div ng-bind-html="trustHtml"&gt;<br>&lt;/div&gt;</pre></td>
      <td><div ng-bind-html="trustHtml"></div></td>
    </tr>
    <tr>
      <td>ng-bind</td>
      <td>不编译</td>
      <td><pre>&lt;div ng-bind="myHtml"&gt;<br>&lt;/div&gt;</pre></td>
      <td><div ng-bind="myHtml"></div></td>
    </tr>
    </tbody>
  </table>
  <a class="btn btn-default" href="http://plnkr.co/edit/3FBasliZTRjKs3jwTpoR?p=preview" role="button">plunker</a>
</div>
</body>
</html>

app.js

var app =angular.module('myApp',['ngSanitize']);
app.controller('ctrl',function($scope,$sce){
    $scope.myHtml = '<p style="color:blue">an html\n' +
    '<em οnclick="this.textContent=\'code_bunny\'">click here</em>\n' +
    'snippet</p>';
    $scope.trustHtml = $sce.trustAsHtml($scope.myHtml)
});

运行效果:


        表格第一行:myHtml是一段字符串,但是它的内容是一段html,使用ng-bind-html可以把它作为元素的.html()绑定给元素。在这里我们给模块添加依赖 ‘ngSanitize‘ ,(需要链入angular-sanitize.min.js)。然后使用ng-bind-html,$sanitize会自动对myHtml进行净化。

        所以我们看到结果,myHtml是被作为html填充到div里面的,但是不再是原来的myHtml,而是这样的:


        可以看到,$sanitize会把标签的属性都移除,以及绑定在元素上的事件,仅保留了标签和内容。

        记住,$sanitize指令本身不会出现在js代码里,直接使用ng-bind-html就行了。但如果这里不给模块添加依赖ngSanitize,是会报错的。

        表格第二行:trustHtml 是myHtml通过$sce.trustAsHtml() 处理以后的返回值。所以它不再经过$sanitize服务的净化,直接作为元素的.html()绑定给元素,所以我们看到myHtml被完整的填充到了div里,保留了所有的属性和事件,这一行的内容不依赖于ngSanitize模块,$sce服务是内置的。所谓sce即“Strict Contextual Escaping”的缩写,翻译成中文就是“严格的上下文模式”也可以理解为安全绑定吧。

        表格第三行:不使用ng-bind-html指令,当使用ng-bind指令时,绑定的值就作为字符串填充到元素里,这个没什么好讲的。

 

文章来源:http://www.mamicode.com/info-detail-322397.html

wjxbj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5、AngularJS 直接绑定显示html ($sce、$sanitize服务
weixin_30315905的博客
03-02 192
1、直接使用$sce服务(angularjs中:$sce.trustAsHtml($scope.snippet)。html:ng-bind-html="snippet") 以下代码输出: 1 <div ng-bind-html="snippet"></div> 2 3 <script> 4   angular.module('saniti...
$sanitize和$sce服务的使用方法
weixin_34244102的博客
02-12 444
var app =angular.module(‘myApp‘,[‘ngSanitize‘]); app.controller(‘ctrl‘,function($scope,$sce){ $scope.myHtml = ‘&lt;p &gt;an html\n‘ + ‘&lt;em onclick="this.textContent=\‘code_bunny\‘"&gt;cl...
AngularJS简单的入门体验
书山有路勤为径,学海无涯苦作舟
10-25 376
AngularJS介绍 AngularJS 是 Angular1.x 的另一个名字罢了,从 Angular 2.0 版本开始,AngularJS 与 Angular2.0 及以上版本就已经不是同一个框架了。AngularJS诞生于2009年,后被Google收购,用于许多Google产品的开发。AngularJS框架让开发人员们更加关注于业务逻辑和数据,而并非将大量的时间去处理页面层级的操作。An...
AngularJS】Angularjs中 图片等链接 unsafe的问题解决方法
Mickeymouse
03-16 2805
angular对href是有安全检查的,只能生成它认为安全的链接,所以在我们加载绑定base64的图片或者一些tel,sml链接的时候,会报出类似下面的错误解决办法很简单,AngularJS内置的provider——$compileProvider$compileProvider.aHrefSanitizationWhitelist([regexp])可以设置urls安全列表的正则表达式,就不会报...
gulp-angular-templatecache:在$ templateCache中连接并注册AngularJS模板
02-03
var templateCache = require ( 'gulp-angular-templatecache' ) ;gulp . task ( 'default' , function ( ) { return gulp . src ( 'templates/**/*.html' ) . pipe ( templateCache ( ) ) . pipe ( gulp . dest ( ...
angular-tree-component的使用详解
10-18
**Angular Tree Component 使用详解** Angular Tree Component 是一个强大的 Angular 库,用于在应用程序中创建可交互的树形结构。这个组件提供了丰富的功能和高度的定制性,使得在Angular项目中处理层级数据变得...
angular中的href="unsafe:我该怎么摆脱你的溺爱!!
weixin_33842304的博客
12-05 925
解决方法:angular.module加入下面这行:(依据Angular changes urls to “unsafe:” in extension page) .config(function($compileProvider){ //注:有些版本的angularjs为$compileProvider.urlSanitizat...
angular】a标签unsafe javascript void(0) safari功能异常 aHrefSanitizationWhitelist
康一夏忙中偷闲的日子
12-19 752
        日期选择插件angularjs-datepicker(2.1.23)中a的href属性都变成了unsafe:javascript:void(0),导致safari浏览器日期选择功能异常 解决a标签中href链接含有unsafe而不能正常跳转或功能异常问题 // 解决a标签中href链接含有unsafe...
angularjs 中a标签中href属性带有unsafe:javascript解决方案
xyc的博客
06-09 1620
var firstApp = angular.module('firstApp', []); firstApp.config(['$compileProvider',function ($compileProvider) { $compileProvider.aHrefSanitizationWhitelist(/^\s*(https?|ftp|mailto|tel|file|sms|ja
过滤HTML字符--sanitize
木鱼与代码
10-06 706
  Rails默认用 h 来转义html,如果我们希望输出带有html格式的信息,此时应加上sanitize方法,它可以吧&lt;form&gt; 和 &lt;script&gt;、on=、javascript:等危险标签统统去掉!   一条原则:不用h就用 sanitize!   Sanitize太彻底了,去掉了所有的html标签,包括图片。   自定义选项   通过查询API,   &lt;%...
HTML无害化和Sanitize模块
wjxbj的博客
08-26 1280
一.ng-bind-html、ng-bind-html-unsafe         AngularJS非常注重安全方面的问题,它会尽一切可能把大多数攻击手段最小化。其中一个攻击手段是向你的web页面里注入不安全的HTML,然后利用它触发跨站攻击或者注入攻击。         考虑这样一个例子,假设我们有一个变量存在于myUnsafeHTMLContent作用域中。当HTML的内容如下时,...
angular中的异常机制与异常之外的处理
wjxbj的博客
09-07 1162
  在查阅angularjs的官方文档发现:文档中提到了throw异常 angular.module('exceptionOverride', []).factory('$exceptionHandler', function() { return function(exception, cause) { exception.message += ' (caused by "...
angular模板加载——ng-template
wjxbj的博客
11-18 996
        Angularjs作为mvc(或者说mvvm)框架,同样具备模板这一基本概念。NG加载模板的顺序为:内存加载,AJAX加载。 一.内存加载         如果之前使用过Bootstrap 插件的ng版,即angular-ui,就会了解到这种方式的具体应用。模板本质上是字符串,把字符串直接写入内存,加载时直接从内存获取,速度会更快,有两种方式显式启用内存加载。 1.通过使...
AngularJS实现三级级联下拉选择框
wjxbj的博客
07-15 948
index.html &lt;!doctype html&gt; &lt;html ng-app="ngShowcaseApp"&gt; &lt;head&gt; &lt;meta name="viewport" content="width=device-width, initial-scale=1.0"&gt; &lt;!-- 引入 Boo
Service与Provider
wjxbj的博客
10-07 761
        我们不要试图去复用Controller,当我们发现两个或多个Controller有相同的代码时,我们应该抽取一个服务。 一.使用$http服务 HTTPBasic.html &lt;html ng-app="MyModule"&gt; &lt;head&gt; &lt;meta http-equiv="content-type" content="text/ht...
angular 如何引进 @auth0/angular-jwt
最新发布
06-13
安装完成后,可以在需要使用`@auth0/angular-jwt`的组件或服务中引入该库,示例代码如下: ```typescript import { JwtHelperService } from '@auth0/angular-jwt'; @Injectable() export class AuthService { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值