AngularJS ng-csp
指令
定义和用法
ng-csp
指令用于更改 AngularJS 的安全策略。
设置 ng-csp
指令后,AngularJS 不会运行任何 eval 函数,也不会注入任何内联样式。
将 ng-csp
指令的值设置为 no-unsafe-eval
,将阻止 AngularJS 运行任何 eval 函数,但允许注入内联样式。
将 ng-csp
指令的值设置为 no-inline-style
,将阻止 AngularJS 注入任何内联样式,但允许 eval 函数。
在使用为 Google Chrome 扩展程序或 Windows 应用开发的应用程序时,必须使用 ng-csp
指令。
注意: ng-csp
指令不影响 JavaScript,但它会更改 AngularJS 的工作方式,这意味着:您仍然可以编写 eval 函数,并且它们将按预期执行,但 AngularJS 不会运行自己的 eval 函数。它使用兼容模式,这会使评估时间减慢高达 30%。
语法
<element ng-csp="no-unsafe-eval | no-inline-style"></element>
参数值
值 | 描述 |
---|---|
no-unsafe-eval no-inline-style |
值可以为空,表示不允许 eval 或内联样式。 值可以是上述描述的两个值之一。 值可以是两个值,用分号分隔,但这将与空值具有相同的含义。 |