У меня есть приложение AngularJS (Angular версия 1.6.4), которое использует поле ввода для привязки URL (который может быть изменен пользователем) к модели. Вот как это выглядит:
<input ng-model="connectorService.url">
Этот URL-адрес затем сохраняется в серверной части и перезагружается оттуда, как только страница обновляется. Я попытался сделать некоторые XSS, манипулируя запросами POST, которые устанавливают URL в бэкэнде.
Я ввел <script>alert("XSS");</script>
во вход, и он настроен правильно (проверяется вручную, запрашивая его из бэкэнда). Когда я перезагружаю страницу, поле ввода содержит XSS, но оно не выполняется. Что я делаю неправильно? В AngularJS 1.6.4 все еще есть песочница?