我正在使用Angular2 Beta开发Web应用程序。
我的表单包括简单的文本字段和接受用户输入的文本区域,并且数据显示在应用程序中。
这些字段无意接受任何HTML输入并将其以HTML格式呈现。
我尝试输入简单的JavaScript代码,例如
<script>alert("XSS");</script>
它按原样显示,没有运行恶意代码。 :)
我想检查我的应用程序是否容易受到XSS攻击。
默认情况下,Angular 2+是否清除用户输入的内容?
是的! Angular2提供了一个内置的,默认启用的名为DomSanitizationService的反XSS保护。