$ sanitizeの実装をDOMPurifyに置き換えますか？

Question

angularjs（バージョン1.5.x）の$ sanitize関数のネイティブ実装を、DOMPurifyを使用するカスタム実装に置き換えることはできますか？

私の目標は、ng-bind-html=valueと書くことができ、HTMLをサニタイズするときにDOMPurifyを使用できるようにすることです。

Answer 1

データをレンダリングする前に、DOMPurityを使用してそのデータをサニタイズすることができます。その場合は、$sanitizeを注射しないでください。

DOMPurifyが持っている例AngularJS用として狂気ライブラリによって 機能を引き起こしたXSSからあなたを防ぐことはできません：XSSセキュリティの面では

は（あなたがそれをタグとして）、DOMPurify is not made to work with AngularJSがあることに注意してください。 jQuery-XSSを保護するための防護服 を実装しましたが、他のすべての ライブラリをカバーすることはできません。あなたが狂ったXSS の脆弱性を持つライブラリを使用している場合、またはそうであるかどうかわからない場合は、 にお問い合わせください。参照：//：JSMVCOMFG、mustache-security、jPurify