5

我已经阅读了有关 angular默认转义所有内容的方式,因此我使用过滤器$sce将数据列入白名单(因为不在服务中工作),如下所示:$sce.trustAsHtml()$sce

<sup class="ng-binding" ng-bind-html="row|logEntry"></sup>

但问题是,我不信任 HTML 的某些部分。

深入了解细节 - 我有其中包含 HTML 的翻译,但它们中有可替换的标记/变量。所以翻译支持 HTML,但我不希望提供的令牌包含 HTML。

我的过滤器logEntry内部如下所示:

var translated = $translate('Log.' + msg.context.entity_type) + '.' + msg.context.action, {
        'object_name': msg.context.object_name,
        'user': msg.context.user_name
});
return $sce.trustAsHtml(translated);

例如,我可以翻译关于 userX 更改文章,但如果用户名包含,我不希望结果文本触发 alert()<script>alert('evilname')</script>

$translate它本身是不相关的,它可以是任何 HTML 字符串,我希望将某些部分替换为常规 JS .replace(),内容保持“作为文本”。

所以我的问题是 -我怎样才能转义 HTML 的一部分?我是否必须在视图内将其切成部分?还是我必须求助于自定义转义( 将 HTML 标签转义为 HTML 实体的最快方法?)?这些事情有首选做法吗?

4

2 回答 2

5

让我们首先重组你logEntry的分离出 interpolateParams

var translationId = 'Log.' + msg.context.entity_type) + '.' + msg.context.action;
var interpolateParams = {
        'object_name': msg.context.object_name,
        'user': msg.context.user_name
};
var translated = $translate(translationId, interpolateParams);
return $sce.trustAsHtml(translated);

您想转义所有 HTML,interpolateParams但在翻译模板中保留任何 HTML。使用此代码复制对象,迭代其值并替换为转义的 HTML。

var safeParams = angular.copy(interpolateParams);    
angular.forEach(safeParams, function(value, key, obj) {     
  obj[key] = encodeEntities(value)
  // if you want safe/sanitized HTML, use this instead
  // obj[key] = $sanitize(value);
});
var translated = $translate(translationId, safeParams);

最后,encodeEntities没有暴露 angular 的功能,所以我们不得不从angular-sanitize.js中借用源码

var SURROGATE_PAIR_REGEXP = /[\uD800-\uDBFF][\uDC00-\uDFFF]/g,
    // Match everything outside of normal chars and " (quote character)
    NON_ALPHANUMERIC_REGEXP = /([^\#-~| |!])/g;
function encodeEntities(value) {
  return value.
    replace(/&/g, '&amp;').
    replace(SURROGATE_PAIR_REGEXP, function(value) {
      var hi = value.charCodeAt(0);
      var low = value.charCodeAt(1);
      return '&#' + (((hi - 0xD800) * 0x400) + (low - 0xDC00) + 0x10000) + ';';
    }).
    replace(NON_ALPHANUMERIC_REGEXP, function(value) {
      return '&#' + value.charCodeAt(0) + ';';
    }).
    replace(/</g, '&lt;').
    replace(/>/g, '&gt;');
}

更新:更新到 angular-translate 2.7.0 后出现此消息:

pascalprecht.translate.$translateSanitization:未配置任何清理策略。这可能会产生严重的安全隐患。有关详细信息,请参阅 http://angular-translate.github.io/docs/#/guide/19_security

Sp 而不是trustlate上面的答案, angular-translate 可以通过以下方式完成相同的结果:

$translateProvider.useSanitizeValueStrategy('escapeParameters');

有关更多清理价值策略的信息,请参阅文档

于 2015-05-31T14:02:54.840 回答
3

在您的应用中添加

$translateProvider.useSanitizeValueStrategy('escapeParameters');

因此,您的代码如下所示:

myApp.config(function ($translateProvider) {

    //...whatever

  $translateProvider.useSanitizeValueStrategy('escapeParameters');

});
于 2016-07-19T12:37:56.713 回答