AngularJS 使用$sce控製程式碼安全檢查_AngularJS

由於瀏覽器都有同源載入策略，無法載入不同網域下的檔案、也不能使用不合要求的協定例如file進行存取。

在angularJs中為了避免安全漏洞，一些ng-src或ng-include都會進行安全校驗，因此常常會遇到 一個iframe中的ng-src無法使用。

什麼是SCE

SCE，即strict contextual escaping,我的理解是 嚴格的上下文隔離  ...翻譯的可能不准確，但是通過字面理解，應該是angularjs嚴格的控制上下文訪問。

由於angular預設是開啟SCE的，因此也就是說預設會決絕一些不安全的行為，例如你使用了某個第三方的腳本或程式庫、載入了一段html等等。

這樣做確實是安全了，避免一些跨站XSS，但是有時候我們自己想要載入特定的文件，這時候怎麼辦呢？

此時可以透過$sce服務把一些地址變成安全的、授權的連結...簡單地說， 就像告訴門衛，這個陌生人其實是我的好朋友，很值得信賴，不必攔截它！

常用的方法有：

$sce.trustAs(type,name);
$sce.trustAsHtml(value);
$sce.trustAsUrl(value);
$sce.trustAsResourceUrl(value);
$sce.trustAsJs(value);

其中後面的幾個都是基於第一個api使用的，例如trsutAsUrl其實調用的是trsutAs($sce.URL,"xxxx");

其中 type 可選的值為：

$sce.HTML
$sce.CSS
$sce.URL //a標籤中的href ， img標籤中的src
$sce.RESOURCE_URL //ng-include,src或ngSrc，如iframe或Object
$sce.JS

來自官網的例子：ng-bind-html

<!DOCTYPE html>
<html>
<head>
  <title></title>
  <script src="http://apps.bdimg.com/libs/angular.js/1.2.16/angular.min.js"></script>
</head>
<body ng-app="mySceApp">
  <div ng-controller="AppController">
   <i ng-bind-html="explicitlyTrustedHtml" id="explicitlyTrustedHtml"></i>
  </div>
  <script type="text/javascript">
    angular.module('mySceApp',[])
    .controller('AppController', ['$scope', '$sce',
     function($scope, $sce) {
      $scope.explicitlyTrustedHtml = $sce.trustAsHtml(
        '<span onmouseover="this.textContent="Explicitly trusted HTML bypasses ' +
        'sanitization."">Hover over this text.</span>');
     }]);
  </script>
</body>
</html>

實際工作中的例子：ng-src連結

<!DOCTYPE html>
<html>
<head>
  <title></title>
  <script src="http://apps.bdimg.com/libs/angular.js/1.2.16/angular.min.js"></script>
</head>
<body ng-app="mySceApp">
<div ng-controller="AppController">
  <iframe width="100%" height="100%" seamless frameborder="0" ng-src="{{trustSrc}}"></iframe>
</div>
  <script type="text/javascript">
    angular.module('mySceApp',[])
    .controller('AppController', ['$scope','$sce',function($scope,$sce) {
      $scope.trustSrc = $sce.trustAs($sce.RESOURCE_URL,"http://fanyi.youdao.com/");
      // $scope.trustSrc = $sce.trustAsResourceUrl("http://fanyi.youdao.com/");//等同于这个方法
     }]);
  </script>
</body>
</html>

還有一點時間，接著跟大家介紹angular中的ng-bind-html指令和$sce服務

angular js的強大之處之一就是他的資料雙向綁定這一牛B功能，我們會常常用到的兩個東西就是ng-bind和針對form的ng-model。但在我們的專案當中會遇到這樣的情況，後台回傳的資料中帶有各種各樣的html標籤。如：

$scope.currentWork.description = “hello,
今天我們要去哪裡？”
我們用ng-bind-html這樣的指令來綁定，結果卻不是我們想要的。是這樣的

hello,

今天我們要去哪裡？

怎麼辦呢？

對於angular 1.2一下的版本我們必須使用$sce這個服務來解決我們的問題。所謂sce即「Strict Contextual Escaping」的縮寫。翻譯成中文就是「嚴格的上下文模式」也可以理解為安全綁定吧。來看看怎麼用吧。

controller code:

$http.get('/api/work/get?workId=' + $routeParams.workId).success(function (work) {$scope.currentWork = work;});

HTML code:

<p> {{currentWork.description}}</p>

我們回傳的內容包含一系列的html標記。表現出來的結果就如我們文章開頭所說的。這時候我們必須告訴它安全綁定。它可以透過使用$ sce.trustAsHtml()。該方法將值轉換為特權所接受並能安全地使用“ng-bind-html”。所以，我們必須在我們的控制器中引入$sce服務

controller('transferWorkStep2', ['$scope','$http','$routeParams','$sce', function ($scope,$http, $routeParams, $sce) {
$http.get('/api/work/get?workId=' + $routeParams.workId)
.success(function (work) {
  $scope.currentWork = work;
  $scope.currentWork.description = $sce.trustAsHtml($rootScope.currentWork.description);
});

html code:

<p ng-bind-html="currentWork.description"></p>

這樣結果就完美的呈現在頁面上了：

hello

今天我們要去哪裡？

咱們還可以這樣用，把它封裝成一個過濾器就可以在模板上隨時調用了

app.filter('to_trusted', ['$sce', function ($sce) {
return function (text) {
  return $sce.trustAsHtml(text);
};
}]);

html code:

全選複製放進筆記

<p ng-bind-html="currentWork.description | to_trusted"></p>