这称为SCE(严格上下文转义): 与许多“严格”模式一样,这是可配置的。但是从V 1.2开始,它将自动设置为true。
更具体地说,在Angular认为容易受到攻击的情况下(如url),允许的插值较少(严格性)。您的URL串联被“清除”。
您已经知道原因: XSS攻击 。它也用于保护开发人员:稍微错误的url可能会导致数据删除或覆盖。
您可能会感到困惑,为什么全字符串内插
ng:src="{{fullUrl}}"比字符串串联安全得多ng:src="/resources/{{id}}/thumbnail"。TBH,我不确定两者之间是否存在重大差异,但这只是判断。您可以使用其他方法来解决这种烦恼:
1) 将您的网址结构包装在里面
$sce.trustAs()
<img ng:src="sce.trustAs('url', '/resources/{{id}}/thumbnail')" />2) 如果选择,您可以在整个应用程序中禁用SCE
angular.module('myApp').config(function($sceProvider) { $sceProvider.enabled(false);});更正:
您不能从指令调用$ sce服务。仅$ scope服务可直接使用。但是您可以使用函数(或使用函数的指令)。
$scope.createUrl = function (strName) { var truststring = '/resources/' + strName + '/thumbnail'; return truststring; }和您的指令调用看起来像
<img ng:src="{{ createUrl(id) }}" />在这种情况下,如果将串联包装在一个函数中,则可能甚至不需要取消其消毒处理,因为您不会违反SCE规则。
