AngularJS 使用$sce控製程式碼安全檢查_AngularJS
- WBOY原創
- 2016-05-16 15:21:471053瀏覽
由於瀏覽器都有同源載入策略,無法載入不同網域下的檔案、也不能使用不合要求的協定例如file進行存取。
在angularJs中為了避免安全漏洞,一些ng-src或ng-include都會進行安全校驗,因此常常會遇到 一個iframe中的ng-src無法使用。
什麼是SCE
SCE,即strict contextual escaping,我的理解是 嚴格的上下文隔離 ...翻譯的可能不准確,但是通過字面理解,應該是angularjs嚴格的控制上下文訪問。
由於angular預設是開啟SCE的,因此也就是說預設會決絕一些不安全的行為,例如你使用了某個第三方的腳本或程式庫、載入了一段html等等。
這樣做確實是安全了,避免一些跨站XSS,但是有時候我們自己想要載入特定的文件,這時候怎麼辦呢?
此時可以透過$sce服務把一些地址變成安全的、授權的連結...簡單地說, 就像告訴門衛,這個陌生人其實是我的好朋友,很值得信賴,不必攔截它!
常用的方法有:
$sce.trustAs(type,name);
$sce.trustAsHtml(value);
$sce.trustAsUrl(value);
$sce.trustAsResourceUrl(value);
$sce.trustAsJs(value);
其中後面的幾個都是基於第一個api使用的,例如trsutAsUrl其實調用的是trsutAs($sce.URL,"xxxx");
其中 type 可選的值為:
$sce.HTML
$sce.CSS
$sce.URL //a標籤中的href , img標籤中的src
$sce.RESOURCE_URL //ng-include,src或ngSrc,如iframe或Object
$sce.JS
來自官網的例子:ng-bind-html
<!DOCTYPE html>
<html>
<head>
<title></title>
<script src="http://apps.bdimg.com/libs/angular.js/1.2.16/angular.min.js"></script>
</head>
<body ng-app="mySceApp">
<div ng-controller="AppController">
<i ng-bind-html="explicitlyTrustedHtml" id="explicitlyTrustedHtml"></i>
</div>
<script type="text/javascript">
angular.module('mySceApp',[])
.controller('AppController', ['$scope', '$sce',
function($scope, $sce) {
$scope.explicitlyTrustedHtml = $sce.trustAsHtml(
'<span onmouseover="this.textContent="Explicitly trusted HTML bypasses ' +
'sanitization."">Hover over this text.</span>');
}]);
</script>
</body>
</html>
實際工作中的例子:ng-src連結
<!DOCTYPE html>
<html>
<head>
<title></title>
<script src="http://apps.bdimg.com/libs/angular.js/1.2.16/angular.min.js"></script>
</head>
<body ng-app="mySceApp">
<div ng-controller="AppController">
<iframe width="100%" height="100%" seamless frameborder="0" ng-src="{{trustSrc}}"></iframe>
</div>
<script type="text/javascript">
angular.module('mySceApp',[])
.controller('AppController', ['$scope','$sce',function($scope,$sce) {
$scope.trustSrc = $sce.trustAs($sce.RESOURCE_URL,"http://fanyi.youdao.com/");
// $scope.trustSrc = $sce.trustAsResourceUrl("http://fanyi.youdao.com/");//等同于这个方法
}]);
</script>
</body>
</html>
還有一點時間,接著跟大家介紹angular中的ng-bind-html指令和$sce服務
angular js的強大之處之一就是他的資料雙向綁定這一牛B功能,我們會常常用到的兩個東西就是ng-bind和針對form的ng-model。但在我們的專案當中會遇到這樣的情況,後台回傳的資料中帶有各種各樣的html標籤。如:
$scope.currentWork.description = “hello,
今天我們要去哪裡?”
我們用ng-bind-html這樣的指令來綁定,結果卻不是我們想要的。是這樣的
hello,
今天我們要去哪裡?
怎麼辦呢?
對於angular 1.2一下的版本我們必須使用$sce這個服務來解決我們的問題。所謂sce即「Strict Contextual Escaping」的縮寫。翻譯成中文就是「嚴格的上下文模式」也可以理解為安全綁定吧。來看看怎麼用吧。
controller code:
$http.get('/api/work/get?workId=' + $routeParams.workId).success(function (work) {$scope.currentWork = work;});
HTML code:
<p> {{currentWork.description}}</p>
我們回傳的內容包含一系列的html標記。表現出來的結果就如我們文章開頭所說的。這時候我們必須告訴它安全綁定。它可以透過使用$ sce.trustAsHtml()。該方法將值轉換為特權所接受並能安全地使用“ng-bind-html”。所以,我們必須在我們的控制器中引入$sce服務
controller('transferWorkStep2', ['$scope','$http','$routeParams','$sce', function ($scope,$http, $routeParams, $sce) {
$http.get('/api/work/get?workId=' + $routeParams.workId)
.success(function (work) {
$scope.currentWork = work;
$scope.currentWork.description = $sce.trustAsHtml($rootScope.currentWork.description);
});
html code:
<p ng-bind-html="currentWork.description"></p>
這樣結果就完美的呈現在頁面上了:
hello
今天我們要去哪裡?
咱們還可以這樣用,把它封裝成一個過濾器就可以在模板上隨時調用了
app.filter('to_trusted', ['$sce', function ($sce) {
return function (text) {
return $sce.trustAsHtml(text);
};
}]);
html code:
全選複製放進筆記
<p ng-bind-html="currentWork.description | to_trusted"></p>