Angular学习笔记

最新推荐文章于 2020-05-15 15:29:39 发布
最新推荐文章于 2020-05-15 15:29:39 发布
阅读量654 收藏
点赞数
分类专栏: web 文章标签: angular
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ymc2015/article/details/50923596
版权

Iframe动态绑定(关于$sce)

<!-- Html -->

<script src="public/js/angular.min.js"></script>
<script src="public/js/angular-sanitize.min.js"></script>
<!-- Other Code -->
<iframe ng-src = {{url}}></iframe>
<!-- Controller -->

var myApp = angular.module("myApp", ['ngSanitize']);

function unoteListController($scope, $sce) {
    /*
     * Other Code
     */
    $scope.url = $sce.trustAsResourceUrl(url);
}

从官方文档和源码中可以看出, $sce 服务提供了很多方法,但它只是代理了 $sceDelegate 服务的功能,提供了一些快捷的接口而已;
关键的三个方法: trustAsgetTrustedvalueOf 都是 $sceDelegate 服务提供的;
getTrustedHtml 等方法又是调用 $sanitize 的,文中的 trustAsResourceUrl 方法即需要注入 $sanitize 服务;

附:AngularJS和XSS

首先,什么是XSS,常见的Web攻击都有哪些?

推荐看这篇文章《关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)》

如果项目是基于 ng(Angular) 的,那么直接使用 $sanitize 即可以帮助我们屏蔽掉存在风险的 html 标签; $sanitize 服务会处理要显示的 html 数据,把这些 html 解析成一个一个的标签,然后去自己的白名单中进行校验,如果被检查的标签被认为是非安全,那么它就会转移成普通字符串显示,需要留意的是, $sanitize 服务需要单独加载;

官方的例子中提到了一个依赖 $sanitize 的指令: ng-bind-html ,该指令会自动调用 $sanitize 服务把 html 字符串进行过滤,如果没有发现 $sanitize 被注入,则会报异常;而如果直接使用 {{ }} 或 ng-bind 来绑定数据,那么 html 会被自动转义,显示在页面上;

官方例子中有一个写法如下:

//HTML
<div ng-bind-html="deliberatelyTrustDangerousSnippet()"></div>

//Controller
$scope.deliberatelyTrustDangerousSnippet = function() {
    return $sce.trustAsHtml($scope.snippet);
};

在官方文档中,我们看到了一个术语 SCE (Strict Contextual Escaping) ,它使得 ng 默认对所有要绑定显示的数据进行安全处理,过滤掉 ng 认为存在风险的标签和属性;

我们看一下 ng-bind-html 的源码,可以看出其内部就是使用的 $sce.getTrustedHtml 来做校验的;

除了 ng-bind-html 指令外, ng-include 指令和我们在声明一个指令时使用的 templateUrl 属性, ng 都会默认进行校验,默认情况下 ng 只会加载同源资源(利用 $sce.getTrustedResourceUrl ),如果你想跨域加载模板资源,意味着你除了要解决浏览器默认的跨域限制外,你还要通过 ng 自身的校验;

如上所述。

关于$watch,$apply与$digest

理解$watch ,$apply 和 $digest — 理解数据绑定过程

关于$compile

Angular 中 $compile 源码分析
Angular 源码分析:$compile 服务
AngularJS 不得不了解的服务 $compile 用于动态显示 html 内容
Angular 中重要指令介绍:$eval, $parse 和 $compile
ng 指令中的 compile 与 link 函数解析

关于 directive

AngularJS 指令实践
Angular 控制器之间的数据共享与通信

关于 Factory, Service, Provider

AngularJS 之 Factory vs Service vs Provider

关于依赖注入

理解 AngularJS 中的依赖注入
AngularJS 中的依赖注入实际应用场景?
Angular 依赖注入详解
如何理解依赖注入?

关于性能调优

对 AngularJS 进行性能调优的7个建议
AngularJs ng-repeat 必须注意的性能问题
整理 AngularJS 框架使用过程当中的一些性能优化要点
AngularJS 性能优化二三事
谈谈 AngularJS 中的一次性数据绑定

面试题

angularjs 面试题
AngularJS 常见面试问题
十个由浅入深的Angular.js面试问题
AngularJS 开发者最常犯的 10 个错误

某某运
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angular学习笔记
04-30
学习笔记内容有angular中的变量定义,数据绑定,$scope作用域,事件绑定,过滤器,脏值检测(表单验证),定时器服务的注入,链接指令,类属性和样式指令,选择和循环,自定义指令,$http服务,路由(ngRoute和ui-router),$location地址栏参数处理服务;以上均以目录形式呈现
angular 学习笔记
12-20
前提 Angular1.5 到 Angular4.0是重写的语言,Angular1简称AngularJs,Angular4简称Angular学习的大纲 1.AngularJs和Angular的架构介绍和对比 2.搭建angular开发环境 3.路由和导航(路由基础知识,在路由时传递参数,路由高级特性) 4.依赖注入(依赖注入模式介绍,Angular对依赖注入的实现方式,Angular的提供器和注入器) 5.绑定、响应式编程和管道(数据绑定,响应式编程,管道) 6.组件中通讯(输入输出属性,中间人模式,组件声明周期) 7.表单处理(模式式表单,响应式表单,表单校验) 8.与服务器通讯(创建web服务器,使用Http协议与服务器通讯,使用WebSocket协议与服务器通讯) 9.构建和部署(构建和部署,多环境支撑) 前置知识 html,js,css 不需要AngularJs的知识 需要了解ES6的语法 需要了解TypeScript语法 在Angular知识学习(一)中有讲述到表单的知识,不过那是最基础的演示,在之后的学习中又了解到模板驱动表单,所以考虑对之前的表单案例进行重构,完善表单
Angular API 核心组件之 指令篇
weixin_30341745的博客
09-12 179
1 ngApp 利用这个指令可以自动触发Angular程序,ngApp指令指定了angular 应用的根节点,一般都会把这个指令绑定在页面的根节点上,例如:<body>或者<html>标签。 每个页面只有一个AngularJs的应用可以被自动触发,文档中第一个ngAPP指令会自动触发AngularJs应用。如果在一个html文档中想触发多个AngularJs的应用,你需...
AngularJs $templateCache 和 $templateRequest 模板缓存
weixin_33716557的博客
11-28 165
$templateCache 第一次使用模板,它被加载到模板缓存中,以便快速检索。你可以直接将模板标签加载到缓存中,或者通过$templateCache服务。 通过script标签: &lt;script type=”text/ng-template” id=”template.html”&gt; &lt;p&gt;This is the content of the template&l...
AngularJs $compile服务
chenghao7604的博客
03-01 367
正常情况(即非动态插入 DOM 对象)下,ng-click这样的指令之所以有效(即点击之后能调用注册在可见作用域里的方法),是因为 angular 在 compiling phase(编译阶段)将宿主 DOM 对象(即加入了ng-click指令的 DOM 对象)绑定在当前作用域内了。 ...
经过$sce.trustAsResourceUrl处理初次绑定后又跳回该视图(不做刷新),该如何渲染?
圆子mom的博客
01-31 2358
模型:在同一个页面,用ng-include的方式做A、B两个视图切换。在A页面有一个tms-data的指令,通过$sce处理并绑定后台传递过来的数据。 为什么使用$sce? 因为angularJS里好些地方,比如路径默认是个字符串,不会认为是路径,从而访问不到我们需要的东西,那么我们就可以通过$sce告诉angualrJS这个路径,这样是很安全滴。 比如,当处理文件地址时,代码是这样写的: case 'file': case 'voice': repos.forEach(function
angularjs 解决url跨域问题
friend_ship的博客
09-05 663
当在一个产品中引入另一个页面时,一般会出现url跨域问题。解决方式代码如下: <body ng-app="app"> <div> <iframe ng-src="{{ val | trustAsResourceUrl}}" frameborder="0" width="100%" height="600px"></iframe...
ng-bind-html 的使用
weixin_34034670的博客
02-04 241
AngualrJS 提供了指令ng-bind-html 用于绑定包含HTML标签的文档,使用方式: &lt;ANY ng-bind-html=""&gt; ... &lt;/ANY&gt; 测试案例: index.html &lt;div ng-controller="TestCtrl"&gt; &lt;div&gt; ...
angularjs解析html字符串
小小黑
11-28 4670
参考链接 https://docs.angularjs.org/api/ngSanitize 首先下载angular-sanitize.min.js,下载地址: https://github.com/angular/bower-angular-sanitize 添加解析函数//解析html字符串 $scope.deliberatelyTrustDangerousSnippet = funct
angularJS 显示带html的文本
weixin_34307464的博客
05-20 241
2019独角兽企业重金招聘Python工程师标准>>> ...
angular js自定义指令 directive 如何使用?为什么要使用封装的自定义指令?
learning_web的博客
07-25 281
这里是修真院前端小课堂,每篇分享文从 八个方面深度解析前端知识/技能,本篇分享的是: 【angular js自定义指令 directive 如何使用?为什么要使用封装的自定义指令? 】 1.背景介绍 1.1什么是指令 AngularJS与jQuery最大的区别在哪里?我认为,表现在数据双向绑定,实质就是DOM的操作形式不一样。 JQuery通过选择器找到DOM元素,再赋予元素的行为; 而Angu...
指令<AngularJs>
weixin_34088598的博客
10-26 102
对于指令,可以把它简单的理解成在特定DOM元素上运行的函数,指令可以扩展这个元素的功能。 首先来看个完整的参数示例再来详细的介绍各个参数的作用及用法: angular.module('myApp', []) .directive('myDirective', function() { return { restrict: String, ...
Angular配置调试环境的域名
小松鼠举栗子
05-15 1164
调试环境的问题 Angular启动打包调试的命令是ng serve. ng serve默认对应的页面地址是localhost:4200. 在这个环境下, 有些资源的加载就会出现问题. 比如图片资源无法加载, 视频无法打开, 广告加载失败等. 主要是跨域或后端限制造成的. 因此, 所以如果可以在ng serve的调试环境配置中指定域名问题应该就能解决. 配置域名的方法 在C:\Windows\System32\drivers\etc\hosts文件中配置: 127.0.0.1 www.abc.com
AngularJs】---$sce 输出Html
weixin_30788239的博客
04-10 68
【问题描述】 angular js的强大之处之一就是他的数据双向绑定功能----->ng-bind和针对form的ng-model 但在我们的项目当中会遇到这样的情况,后台返回的数据中带有各种各样的html标签 angularJs输出html的时候,浏览器并不解析这些html标签 我们用ng-bind-html这样的指令来绑定,浏览器中显示的还是html代码 【解决办法-...
angularJS中把html格式的字符串转成html格式显示,ng-bind-html与trustAsHtml的过滤器
一生为追梦的博客
11-30 9889
js: app.filter('trust2Html', ['$sce',function($sce) { return function(val) { return $sce.trustAsHtml(val); }; }]) html:
AngularJS源码分析之依赖注入$injector
weixin_30376323的博客
04-16 102
开篇 随着javaEE的spring框架的兴起,依赖注入(IoC)的概念彻底深入人心,它彻底改变了我们的编码模式和思维。在IoC之前,我们在程序中需要创建一个对象很简单也很直接,就是在代码中new Object即可,有我们自己负责创建、维护、修改和删除,也就是说,我们控制了对象的整个生命周期,直到对象没有被引用,被回收。诚然,当创建或者维护的对象数量较少时,这种做法无可厚...
5、AngularJS 直接绑定显示html ($sce、$sanitize服务)
weixin_30315905的博客
03-02 187
1、直接使用$sce服务(angularjs中:$sce.trustAsHtml($scope.snippet)。html:ng-bind-html="snippet") 以下代码输出: 1 <div ng-bind-html="snippet"></div> 2 3 <script> 4   angular.module('saniti...
angular1/angular2 嵌入外部链接
u010172505的专栏
10-16 3460
angular1/angular2中嵌入外部链接
angular学习路线
最新发布
06-09
学习 Angular 的路线可以大致分为以下几个阶段: 1. HTML、CSS 和 JavaScript 基础:在学习 Angular 之前,你需要掌握 HTML、CSS 和 JavaScript 的基础知识。这些技术是 Angular 应用的基础。 2. TypeScript 学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值