那些遇到过的问题

Angular.js中的部分HTML字符串转义

Art*_*pov 5 javascript security angularjs angular-translate

我看了一下逃逸角的方式默认一切$sce,所以我白名单的数据与$sce.trustAsHtml()通过过滤器(因为$sce没有在服务工作),就像这样:

<sup class="ng-binding" ng-bind-html="row|logEntry"></sup>
Run Code Online (Sandbox Code Playgroud)

但问题是,我不相信HTML的某些部分.

深入研究细节 - 我的翻译中包含HTML,但它们中包含可替换的标记/变量.所以翻译支持HTML,但我不希望提供的令牌包含HTML.

我的过滤器logEntry内部看起来像这样:

var translated = $translate('Log.' + msg.context.entity_type) + '.' + msg.context.action, {
        'object_name': msg.context.object_name,
        'user': msg.context.user_name
});
return $sce.trustAsHtml(translated);
Run Code Online (Sandbox Code Playgroud)

例如,我可以翻译有关userX更改文章的内容,但如果用户名称包含,我不希望结果文本触发alert() <script>alert('evilname')</script>

$translate它本身是不相关的,它可以是任何HTML字符串,我希望某些部分被常规JS替换.replace(),内容保持"作为文本".

所以我的问题是 - 如何逃避HTML的部分内容?我是否必须在视图内部分切片?或者我是否必须采用自定义转义( 最快的方法将HTML标记转义为HTML实体?)?这种事情是否有首选做法?

Kev*_*son 5

让我们从重构你的内容开始,logEntry将interpolateParams分开

var translationId = 'Log.' + msg.context.entity_type) + '.' + msg.context.action;
var interpolateParams = {
        'object_name': msg.context.object_name,
        'user': msg.context.user_name
};
var translated = $translate(translationId, interpolateParams);
return $sce.trustAsHtml(translated);
Run Code Online (Sandbox Code Playgroud)

您想要从中转义所有HTML,interpolateParams但在翻译模板中保留任何HTML.使用此代码复制对象,迭代其值并替换为转义的HTML.

var safeParams = angular.copy(interpolateParams);    
angular.forEach(safeParams, function(value, key, obj) {     
  obj[key] = encodeEntities(value)
  // if you want safe/sanitized HTML, use this instead
  // obj[key] = $sanitize(value);
});
var translated = $translate(translationId, safeParams);
Run Code Online (Sandbox Code Playgroud)

最后,encodeEntitiesangular 的功能没有暴露,因此我们不得不从angular-sanitize.js借用源代码

var SURROGATE_PAIR_REGEXP = /[\uD800-\uDBFF][\uDC00-\uDFFF]/g,
    // Match everything outside of normal chars and " (quote character)
    NON_ALPHANUMERIC_REGEXP = /([^\#-~| |!])/g;
function encodeEntities(value) {
  return value.
    replace(/&/g, '&amp;').
    replace(SURROGATE_PAIR_REGEXP, function(value) {
      var hi = value.charCodeAt(0);
      var low = value.charCodeAt(1);
      return '&#' + (((hi - 0xD800) * 0x400) + (low - 0xDC00) + 0x10000) + ';';
    }).
    replace(NON_ALPHANUMERIC_REGEXP, function(value) {
      return '&#' + value.charCodeAt(0) + ';';
    }).
    replace(/</g, '&lt;').
    replace(/>/g, '&gt;');
}
Run Code Online (Sandbox Code Playgroud)

更新:更新为angular-translate 2.7.0后出现此消息:

pascalprecht.translate.$ translateSanitization:未配置清理策略.这可能会产生严重的安全隐患.有关详细信息,请参见 http://angular-translate.github.io/docs/#/guide/19_security.

Sp代替trustlate上面的答案,angular-translate可以完成相同的结果:

$translateProvider.useSanitizeValueStrategy('escapeParameters');
Run Code Online (Sandbox Code Playgroud)

有关更多Sanitize Value Strategies的信息,请参阅文档

归档时间:

查看次数:

4130 次

最近记录:

9 年,6 月 前
将HTML标记转义为HTML实体的最快方法? 93
更多相关链接
相关归档
使用请求获取Node.js中的二进制内容 125
谷歌的无形按钮 90
`before()`和`beforeEach()`有什么区别? 78
处理连续的JSON流 62
如何创建Java沙箱? 46
那么仅在客户端验证表单是否安全? 8
如何将AngularJS ui-grid单元格中的数值格式化为两位小数? 8
用户是否对Temporary ASP.NET Files文件夹写入权限会造成任何安全问题? 5
在客户端 - 服务器应用程序中:如何向数据库发送用户的应用程序密码? 2
你能确认我这个奇怪的帖子请求是一种网络攻击吗? 1
难疑归档
使用JavaScript获取当前网址? 2882
提高SQLite的每秒INSERT性能? 2880
如何在Git中获取当前分支名称? 2321
有没有办法在Android上运行Python? 2097
常规演员与static_cast与dynamic_cast 1661
为什么要使用getter和setter/accessors? 1472
enctype ='multipart/form-data'是什么意思? 1290
在Python中将整数转换为字符串? 1282
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
如何撤消git reset --hard HEAD~1? 1083