AngularJS XSS в поле <input>

Question

У меня есть приложение AngularJS (Angular версия 1.6.4), которое использует поле ввода для привязки URL (который может быть изменен пользователем) к модели. Вот как это выглядит:

<input ng-model="connectorService.url">

Этот URL-адрес затем сохраняется в серверной части и перезагружается оттуда, как только страница обновляется. Я попытался сделать некоторые XSS, манипулируя запросами POST, которые устанавливают URL в бэкэнде.

Я ввел <script>alert("XSS");</script> во вход, и он настроен правильно (проверяется вручную, запрашивая его из бэкэнда). Когда я перезагружаю страницу, поле ввода содержит XSS, но оно не выполняется. Что я делаю неправильно? В AngularJS 1.6.4 все еще есть песочница?

Answer 1

Есть ли еще песочница в AngularJS 1.6.4?

Нет, песочница выражения была удалена с помощью AngularJS 1.6

Из документов:

Другим важным изменением [с V1.6] является удаление песочницы выражений . Это не должно требовать изменений в вашем приложении (и может привести к небольшому повышению производительности), но мы настоятельно рекомендуем прочитать сообщение в блоге об удалении , чтобы понять последствия удаления и необходимость каких-либо действий для вашегоpart.

- Руководство разработчика AngularJS - Переход на V1.6

Для получения дополнительной информации см.

• AngularJS Developer Guide - Удаление песочницы