标签: angularjs
如果你构造前端的方式使得前端的Angular重新编译代码很危险,这就是$ sce试图阻止我的理解,攻击者只能绕过你所有的$ sce代码通过自己编辑HTML并手动调用$ compile?由于前端的每个变量都可以随意访问,所以$ sce实际上可以防范什么?
例如,$ sce.CSS的目的是什么?如果用户真的想要改变CSS,他们可以手动插入样式元素。
我可能错过了$ sce只是为了确保用户不会破坏应用程序,实际上并不是为了安全。