我有外部 API 数据,它是用户生成的内容。客户希望使用此提要动态更新他自己的站点,包括使用 JavaScript 的能力。
<div ng-bind-html="post.content"></div>
将显示 HTML 或 CSS 但不适用于 JavaScript 的任何内容:
"content":"<div>Hello Stack</div><script>alert('whats up?');</script>"
我试过包括ngSanitize
以及使用ng-bind-html-unsafe
.
没有骰子。