详解AngularJs中$sce与$sceDelegate上下文转义服务
一、严格的上下文转义服务
严格的上下文转义(SCE)是一种需要在一定的语境中导致AngularJS绑定值被标记为安全使用语境的模式。由用户通过ng-bind-html绑定任意HTML语句就是这方面的一个例子。我们称这些上下文转义为特权或者SCE。
二、$sce
$sce 服务是AngularJs提供的一种严格上下文转义服务。
下面代码是简化了的ngBindHtml实现(当然,这不是完整版ngBindHtml源码):
var ngBindHtmlDirective = ['$sce', function($sce) {
return function(scope, element, attr) {
scope.$watch($sce.parseAsHtml(attr.ngBindHtml), function(value) {
element.html(value || '');
});
};
}];
支持哪些信任的上下文类型?
$sce.HTML 将HTML代码安全的绑定到应用程序中。
$sce.CSS 将CSS样式代码安全的绑定到应用程序中。
$sce.URL 将URL安全的绑定到应用程序中并保证其可用。比如(href,src)
$sce.RESOURCE_URL 将RESOURCE_URL安全的绑定到应用程序中并保证其可用。比如(ng-href,ng-src)
$sce.JS 将JAVASCRIPT代码安全的绑定到应用程序中。
如何使$sce服务可用或者不可用?
angular.module(“myApp”,[]).config([“$sceProvider”,function($sceProvider){
$sceProvider.enabled(true/false);
}]);
使用:$sce();
方法:
isEnabled();
返回一个boolean,指示是否可启用SCE。
parseAs(type,expression);
将Angular表达式转换为一个函数。这类似$parse解析并且当表达式是常量时是相同的。否则,它将调用$sce.getTrusted(type,result)将表达式包装。
type:在SCE的上下文的使用的结果的类型。
expression:被编译的字符串表达式。
trustAs(type,value);
代表$sceDelegate.trustAs。
type:上下文中能安全的被使用的值,如url,resourceUrl,html,js和css。
value:需要被认为是安全或者值的信赖的值。
trustAsHtml(value);
$sceDelegate.trustAs($sce.HTML,value)的快捷方式。
value:被信任的值。
trustAsUrl(value);
$sceDelegate.trustAs($sce.URL,value)的快捷方式。
value:被信任的值。
trustAsResourceUrl(value);
$sceDelegate.trustAs($sce.RESOURCE_URL,value)的快捷方式。
value:被信任的值。
trustAsJs(value);
$sceDelegate.trustAs($sce.JS,value)的快捷方式。
value:被信任的值。
getTrusted(type,maybeTrusted);
代表$sceDelegate.getTrusted。因此,得到了$sce的结果。如果查询的上下文类型是一个创造型的类型,则调用trustAs()并且返回原来提供的值。如果这个条件不满足,则抛出一个异常。
getTrustedHtml(value);
$sceDelegate.getTrusted ($sce.HTML,value)的快捷方式。
value:通过$sce.getTrusted执行后的值。
getTrustedCss(value);
$sceDelegate.getTrusted ($sce.CSS,value)的快捷方式。
value:通过$sce.getTrusted执行后的值。
getTrustedUrl(value);
$sceDelegate.getTrusted ($sce.URL,value)的快捷方式。
value:通过$sce.getTrusted执行后的值。
getTrustedResourceUrl(value);
$sceDelegate.getTrusted ($sce.RESOURCE_URL,value)的快捷方式。
value:通过$sce.getTrusted执行后的值。
getTrustedJs(value);
$sceDelegate.getTrusted ($sce.JS,value)的快捷方式。
value:通过$sce.getTrusted执行后的值。
parseAsHtml(expression);
$sce.parseAs ($sce.HTML,value)的快捷方式。
value:被编译的字符串表达式。
parseAsCss(expression);
$sce.parseAs ($sce.CSS,value)的快捷方式。
value:被编译的字符串表达式。
parseAsUrl(expression);
$sce.parseAs ($sce.URL,value)的快捷方式。
value:被编译的字符串表达式。
parseAsResourceUrl(expression);
$sce.parseAs ($sce.RESOURCE_URL,value)的快捷方式。
value:被编译的字符串表达式。
parseAsJs(expression);
$sce.parseAs ($sce.JS,value)的快捷方式。
value:被编译的字符串表达式。
使用方式:
<div ng-app="Demo" ng-controller="testCtrl as ctrl"> <textarea ng-model="ctrl.jsContext"></textarea> <pre ng-bind="ctrl.jsBody"></pre> <button ng-click="ctrl.runJs()">Run</button> <div ng-bind-html="ctrl.htmlText" class="myCss"></div> </div>
(function () {
angular.module('Demo', [])
.controller('testCtrl', ["$sce","$scope",testCtrl]);
function testCtrl($sce,$scope) {
var vm = this;
$scope.$watch("ctrl.jsContext",function(n){
vm.jsBody = n;
});
this.runJs = function() {
eval(vm.jsBody.toString());
};
vm.htmlText = "<h2>Hello World</h2>";
vm.htmlText =$sce.trustAsHtml(this.htmlText);
}
}());
放在filter使用:
<div ng-app="Demo" ng-controller="testCtrl as ctrl"> <div ng-bind-html="ctrl.htmlText | trust:'html'"></div> </div>
(function () {
angular.module('Demo', [])
.filter("trust",["$sce",trust])
.controller('testCtrl', testCtrl);
function trust($sce){
return function(value,type){
return $sce.trustAs(type,value);
}
};
function testCtrl() {
this.htmlText = "<h2>Hello World</h2>";
}
}());
上面是一个将不被Angular认定为信任的HTML代码字符串通过$sce设置为信任的HTML代码并且插入的例子,这里用了个小技巧,也就没在controller进行这步操作了,直接放到一个filter服务内,只要在需要的地方过滤下即可,并且可指定类型,这里写成统一动态选择类型了。那么在啥时候需要用到这两个服务呢?在当使用ng-bind-html绑定html时报错:Error: [$sce:unsafe]Attempting to use an unsafe value in a safe context. 的时候使用。
三、$sceDelegate
$sceDelegate是一个AngularJs为$sce服务提供严格的上下文转义服务的服务。
通常,你会配置或者重写$sceDelegate去代替$sce服务以定制AngularJs中的严格的上下文转义机制。当$sce提供众多的快捷方式,你其实只需要重写三个核心功能(trustAs,getTrusted和valueOf)来替代事件的工作方式,因为$sce代表了$sceDelegate的这些操作。
当你完成了重写或配置$sceDelegate用来改变$sce的行为时,一般情况下,需要配置$sceDelegateProvider以代替你用于装载可信任的AngularJs资源(如template)的白名单和黑名单。
使用:$sceDelegate();
方法:
trustAs(type,value);
返回一个在angular中作为指定的使用严格的上下文转义服务上下文中的值的对象使用。
type:上下文中能安全的被使用的值,如url,resourceUrl,html,js和css。
value:需要被认为是安全或者值的信赖的值。
valueOf(value);
如果传递的参数被上一个$sceDelegate.trustAs调用返回,返回已通过$sceDelegate.trustAs的值。否则返回原先的值。
value:上一个$sceDelegate.trustAs调用的结果或者其他任何结果。
getTrusted(type,maybeTrusted);
如果查询的上下文类型是一个创造型的类型,得到$sceDelegate调用的结果并返回最初提供的值。如果这个条件不满意,抛出一个异常。
type:需要用到的值的类型。
value:上一个$sceDelegate.trustAs调用的结果或者其他任何结果。
使用代码(配置白名单/黑名单):
angular.module('myApp', []).config([“$ sceDelegateProvider”,function($sceDelegateProvider) {
$sceDelegateProvider.resourceUrlWhitelist([“whitelist value”]);
$sceDelegateProvider.resourceUrlBlacklist([“blacklist value”]);
}]);
总结
以上就是这篇文章的全部内容,希望能对大家的学习或者工作带来一定的帮助,如果有疑问大家可以留言交流。
相关文章
这篇文章主要介绍了angularjs实现搜索的关键字在正文中高亮出来,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06
下面小编就为大家带来一篇使用yeoman构建angular应用的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-08-08
这篇文章主要给大家介绍了关于angular共享依赖解决方案的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-10-10
这篇文章主要介绍了AngularJS相关的一些编程思想,AngularJS是一款热门的JavaScript库,推荐!需要的朋友可以参考下2015-06-06
angularjs利用directive实现移动端自定义软键盘的示例
下面小编就为大家带来一篇angularJS利用directive实现移动端自定义软键盘的示例。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-09-09
下面小编就为大家带来一篇AngularJS 表单验证手机号的实例(非必填)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-11-11
这篇文章主要介绍了Angular2 多级注入器详解的相关资料,并附简单实例代码,需要的朋友可以参考下2016-10-10
今天小编就为大家分享一篇angular1.x ui-route传参的三种写法小结,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2018-08-08
本文主要讲解AngularJS ng-checked 指令,在这整理ng-checked 指令的基础知识,并附代码实例,有需要的小伙伴可以参考下2016-08-08
这篇文章主要介绍了AngularJS手动表单验证的相关资料,AngularJS的表单验证大致有两种,一种是手动验证,一种是自动验证,本文重点介绍AngularJS手动表单验证,感兴趣的小伙伴们可以参考一下2016-02-02
最新评论