L'inserimento dei parametri url direttamente nella pagina è sicuro nell'angolare 2+?

0

Così l'altro giorno al lavoro ho notato questo codice in una delle nostre app Web:

this.activatedRoute.params.subscribe(params => {
    this.a = params['b'];
});

e poi nel codice HTML:

{{a}}

Quindi, in sostanza, se navigo verso link la stringa "lol" verrà inserita nella pagina. La mia intuizione mi dice che questo non è giusto dato che puoi potenzialmente inserire codice malevolo nell'url, ma finora non ho avuto fortuna a farlo perché l'url non viene abbinato correttamente o angolare inserisce semplicemente il parametro come semplice stringa nella pagina in modo che non venga interpretata dal browser.

Non è assolutamente possibile che un utente malintenzionato lo sfrutti?

    
posta Tudor 03.08.2017 - 10:34
fonte

2 risposte

3

Come indicato nella pagina di sicurezza di angular , il contenuto interpolato viene sempre sfuggito. A meno che l'applicazione non indichi esplicitamente il contenuto come attendibile utilizzando DomSanitizer o se esiste una vulnerabilità in modo angolare, non è possibile che un utente malintenzionato lo sfrutti.

    
risposta data 03.09.2017 - 10:39
fonte
0

Se l'utente che inserisce l'url è quello che lo vedrà di nuovo, non ci sono problemi.
Gli aggressori non vogliono attaccare se stessi.

    
risposta data 03.08.2017 - 13:33
fonte

Leggi altre domande sui tag