strict contextual escaping
很多翻译的版本,我觉得最贴切的是“严格的上下文编码”。
angular默认开启sce服务,用来避开一些安全风险,如第三方库,或者一段html代码等等。
但是如果我们需要加载这个有风险的内容,就需要像sce申明要添加的内容是“安全的”,将其标记为被信任的内容,因而无需屏蔽。
$sec 提供的常用的几种方法供我们标记不同的信息文本:
$sce.trustAs(type,name);
$sce.trustAsHtml(value); //html
$sce.trustAsUrl(value); //url
$sce.trustAsResourceUrl(value); resourceurl --在html5 的audiio中可以用到
$sce.trustAsJs(value); //js
