AngularJS ng-csp 指令
定義和用法
ng-csp指令用於修改AngularJS的安全策略。
如果使用了ng-csp指令, AngularJS將不會執行eval函數,這樣就無法注入內聯樣式。
設置ng-csp指令為no-unsafe-eval ,將阻止AngularJS執行eval函數,但允許注入內聯樣式。
設置ng-csp指令為no-inline-style ,將阻止AngularJS注入內聯樣式,但允許執行eval函數。
如果開發Google Chrome擴展或Windows應用ng-csp指令是必須的。
注意:ng-csp指令不會影響JavaScript,但會修改AngularJS的工作方式,這就意味著:你仍然可以編寫eval函數,且也可以正常執行,但是AngularJS不能執行它自己的eval函數。如果採用兼容模式,會降低30% 的性能。
語法
< element ng-csp= "no-unsafe-eval | no-inline-style" > < / element >
參數值
| 值 | 描述 |
|---|---|
| no-unsafe-eval no-inline-style | 值可設置為空,意味著eval 和內聯樣式都不被允許。 可以設置其中一個值。 你也可以同時設置兩個值使用分號隔開,但這與留空的效果是一樣的。 |