是否有可能用angularjs(版本1.5.x)替换$ sanitize函数的本机实现与使用DOMPurify的自定义实现?
我的目标是能够编写ng-bind-html=value并在清理HTML时使用DOMPurify。
您可以在呈现数据之前使用DOMPurity对数据进行清理。如果是这样,就不要注入$sanitize。
就XSS安全性而言(当您标记它时),请注意DOMPurify is not made to work with AngularJS:
DOMPurify不会阻止您从疯狂的库功能引起的XSS,例如AngularJS。我们实施了一个保护外套来防止jQuery-XSS,但不能覆盖所有其他库。如果您使用的是具有疯狂XSS漏洞的库,或者您不确定是否是这种情况,请与我们联系。另见:JSMVCOMFG,mustache-security,jPurify