详解Angular.js数据绑定时自动转义html标签及内容
程序员文章站
2022-07-05 21:11:51
angularjs在进行数据绑定时默认是以字符串的形式数据,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止html标签的注入攻击,但有时候需要,特...
angularjs在进行数据绑定时默认是以字符串的形式数据,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止html标签的注入攻击,但有时候需要,特别是从数据库读取带格式的文本时,无法正常的显示在页面中。
而要对html进行转义,则需要在数据绑定的html标签中使用ng-bind-html属性,该属性依赖与$sanitize,也就是需要引入angular-sanitize.js文件,并在module定义时注入该服务ngsanitize。比如:
html:
<span ng-controller = "myctr" ng-bind-html = "htmlstr"></span>
javascript:
function myctr($scope){ $scope.htmlstr = '<p style="color:white;background:#f60;"></p>'; };
这样可以实现html转义,但是有个问题是style这种标签会被angularjs认为是不安全的所以统统自动过滤掉,而为了保留这些就需要开启非安全模式。
如何让自动加载的数据转义html标签呢?实际上还有一种绑定方式:
html:
<div ng-repeat = "article in articles"> <div class="panel-heading"> <h4><b>{{article.title}}</b></h4> </div> <div class="panel-body"> <article id="word-display" ng-bind-html="article.content | trusthtml"> </article> </div> </div>
javascript:
success(function(data){ $scope.articles = data; }); myapp.filter('trusthtml',function($sce){ return function(input){ return $sce.trustashtml(input); } });
其中$sce是angularjs自带的安全处理模块,$sce.trustashtml(input)方法便是将数据内容以html的形式进行解析并返回。将此过滤器添加到ng-bind-html所绑定的数据中,便实现了在数据加载时对与html标签的自动转义。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。