Блог

нужна помощь в понимании data-ng-bind-html. всегда ли это безопасно делать:

          <div data-ng-bind-html="pageHtml"></div>
  

что произойдет, если pageHtml поступает от пользователей и скриптов contein или даже просто html-кода, который может изменить страницу?

Если вы проверите это здесь https://docs.angularjs.org/api/ng/directive/ngBindHtml Вы попадете в $sanitaze, sanitazor просматривает код и удаляет возможные инъекции и небезопасный контент, такой как скрипты или выполнение js, но, в конце концов, я бы посоветовал: trust no one