我需要接受来自用户的html输入(模板)。我需要使用angular的$ interpolate函数编译它。所以当我从用户那里得到html的时候,我会这样做。
let $interpolate = this.$injector.get('$interpolate');
let $sanitize = this.$injector.get('$sanitize');
let html = $sanitize(toReturnStyles.cellTemplate);
el = $interpolate(html)(params);
然后我检查添加,我很好,警觉没有工作。但后来我在输入框中输入了以下代码,并且看到了警报。
{{constructor.constructor('alert(1)')()}}
请帮我正确实施这个用例。
发布于 2018-06-19 19:44:21
https://stackoverflow.com/questions/-100004955
复制相似问题