چهارشنبه, 22 آذر 1396

آموزش انگولار

آموزش انگولار

امنیت محتوا در انگولار

محتوای مخرب زیر را تصور کنید:

evilTitle = 'Template <script>alert("webnegar test!")</script>Syntax';

خوشبختانه، اتصالات داده ای در انگولار در حالت آماده باش برای HTML های خطرناک است. انگولار مقادیر را قبل از نمایش پاکسازی می کند. انگولار اجازه نمی دهد که HTML با تگ های اسکریپت به داخل مرورگر راه یابند، نه با الحاق (اینترپولیشن) و نه با روش اتصال ویژگی (پراپرتی بایندینگ).

<!--
  انگولار برای این دو خط به عنوان پاکسازی آنها هشداری تولید می کند
  WARNING: sanitizing HTML stripped some content (see http://g.co/ng/security#xss).
 -->
<p><span>"{{evilTitle}}" is the <i>interpolated</i> evil title.</span></p>
<p>"<span [innerHTML]="evilTitle"></span>" is the <i>property bound</i> evil title.</p>

الحاق(Interpolation)، برچسب های اسکریپت را به شکل متفاوتی نسبت به اتصال ویژگی (property binding)  اداره می کند اما هر دو روش ارائه محتوا بدون خطر هستند.