Angularjs + предотвращение межсайтовых скриптингов

Является ли Angularjs заботой об атаке XSS. Я прочитал, что ng-bind заботится. Но когда я пытаюсь выполнить образец, чтобы проверить это, он позволяет мне вставлять теги html в тип ввода с помощью ng-model... он не избегал тегов Html.

У меня есть много элементов ввода на нашей странице, которые связывают с ng-model, что я должен сделать, чтобы убедиться, что я вводил теги html, angular игнорирует теги html/scrip.

ех.

<input id="name" ng-model="name"></input>

если я вводим

'Hello, <b>World</b>!'

$scope.name содержит то же самое, что я ввел, не исключал теги. то есть

  var val = $scope.name;
  console.log(val);

печатает как таковой

'Hello, <b>World</b>!'

Пожалуйста, дайте мне знать, как решить это в angularjs.

благодарственное

Ответ 1

Посмотрите здесь: http://docs.angularjs.org/api/ngSanitize/service/$sanitize

Если вы хотите использовать escape ng-bind, он будет отображать тег без интерпретации следующим образом:

Hello <b>World</b> не нравится Hello World!

Вы понимаете? поэтому ng-bind безопасен, потому что он не заботится о тегах HTML.

Если вы хотите, чтобы ваши HTML-теги были интерпретированы, но безопасно просто используйте ng-bind-html!

Например, если вы хотите отобразить эту строку:

'Hello <b>World</b><input type="text" />'

Результат будет: Hello World, но без ввода, потому что компилятор AngularJS использует службу $sanitize и проверяет белый список элементов HTML, а iput не разрешен.

Возможно, ng-bind-html - это то, что вы ищете.

Если вы просто хотите быть уверенным, что пользователь не может помещать теги html в ваш ввод, просто используйте директиву ng-pattern на ваших входах!

http://docs.angularjs.org/api/ng/directive/input

Требуется регулярное выражение для допустимых символов на вашем входе!

Надеюсь, это поможет!

Ответ 2

Я не верю, что AngularJS имеет стандартную проверку входных данных по умолчанию, что и является вашим тестовым упражнением. Таким образом, пользователь может в значительной степени вводить все, что им нравится. Это неудивительно: "белые списки" очень специфичны для домена, а Angular - это инфраструктура, предназначенная для широкого диапазона доменов.

Основной защитой от XSS является правильная кодировка всех ненадежных данных (см. https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)). Это, Angular делает по умолчанию.

Нижняя строка заключается в том, что AngularJS предназначен для защиты от XSS по умолчанию, никаких специальных действий не требуется. Вы можете проверить некоторые основные сценарии, пытаясь вывести то, что вы вводите в представление, используя стандартную нотацию {{scopevariable}}.

Я нашел подробный анализ уязвимости AngularJS XSS: https://code.google.com/p/mustache-security/wiki/AngularJS. В конце комментариев есть ссылка на документ google с дальнейшим обсуждением и ответом команды Angular.