Così l'altro giorno al lavoro ho notato questo codice in una delle nostre app Web:
this.activatedRoute.params.subscribe(params => {
this.a = params['b'];
});
e poi nel codice HTML:
{{a}}
Quindi, in sostanza, se navigo verso link la stringa "lol" verrà inserita nella pagina. La mia intuizione mi dice che questo non è giusto dato che puoi potenzialmente inserire codice malevolo nell'url, ma finora non ho avuto fortuna a farlo perché l'url non viene abbinato correttamente o angolare inserisce semplicemente il parametro come semplice stringa nella pagina in modo che non venga interpretata dal browser.
Non è assolutamente possibile che un utente malintenzionato lo sfrutti?