我需要接受来自用户的 html 输入(模板)。然后我需要使用 angular 的 $interpolate 函数对其进行编译。因此,当我从用户那里获取 html 时,我会这样做。
let $interpolate = this.$injector.get('$interpolate');
let $sanitize = this.$injector.get('$sanitize');
let html = $sanitize(toReturnStyles.cellTemplate);
el = $interpolate(html)(params);
然后我检查了添加,我很好,警报不起作用。但后来我在输入框中输入了以下代码,我看到了警报。
{{constructor.constructor('alert(1)')()}}
请帮我正确实现这个用例。