<h3 _ngcontent-c4="" class="project-name">"Sometest"</h3><script>alert('xss');</script><h3>test</h3>
Я пытался использовать уязвимость XSS в своем собственном проекте.Но это как-то не срабатывает.
Есть идеи?
script удалены из разметки компонента.Это сделано HTMLSanitizer.Это сделано как функция предотвращения XSS.
script
HTMLSanitizer
Angular рассматривает все значения как ненадежные по умолчанию.Когда значение вставляется в DOM из шаблона с помощью свойства, атрибута, стиля, привязки класса или интерполяции, Angular очищает и экранирует ненадежные значения.
Возможно, но не рекомендуется вводить ненадежное содержимое
https://stackoverflow.com/a/44904601/1527544
https://netbasal.com/angular-2-security-the-domsanitizer-service-2202c83bd90