Angular2がコンポーネント内のスクリプトタグをサニタイズするのはなぜですか？

Question

セキュリティ上の理由から、XSS攻撃を防止するためには、ユーザー入力をサニタイズする必要があります。 テキストフィールドまたは入力フィールドから入力を消毒する。

しかし、Angularがコンポーネントテンプレート内からスクリプト要素を削除する理由を理解しようとしています。それは公式のドキュメントに書かれているよう

：

HTMLは、属性、およびテンプレートで（バインド値ではなく）式を結合することは

だから彼らがある場合は安全であると信頼されていますコンパイル時にスクリプトタグが自動的に削除されるのはなぜですか？

XSSに関するドキュメントを読んだ後でも、AngularコンパイラでコンパイルされたAngularコンポーネントのテンプレート内のスクリプトタグがセキュリティを侵害する可能性があります。

ここに回答がありますか？

Answer 1

Angularテンプレートを作成すると、Angularコンパイラはそのテンプレートを読み込み、そのテンプレートが行っていることの最適化されたJavaScript表現を作成し、その最適化されたJavaScriptをブラウザに送ります。

ブラウザがテンプレートを保持する時点で、実際はもはやHTMLではなくなりました。これは単なるjavascriptです。その時点で他の場所から外部の、未知の、潜在的に安全でないJavaScriptを動的にロードするサポートはありません。