Как нарушать Angularjs с помощью $ watch?

Question

В угловой документации JS безопасности написано, используя $ часов, чтобы посмотреть значение пользователя контент небезопасна:

Есть несколько способов, что шаблоны и выражение можно управлять: ...

Передача выражение генерируемого пользователем содержимого в вызовах следующих методов на сферу: ...

$ смотреть (userContent, ...)

Что вы знаете о userContent? Если я смотрю ngModel значение поля ввода пользователя, это userContent? Является ли форма в скрипке небезопасной?

Answer 1

С $ watch вы можете следить за любой ng-моделью. Например, у вас есть 1 график и выше, у вас есть раскрывающийся список из года в год, месяц до даты, квартал к настоящему времени. Теперь скажите, имя выпадающей модели dateChange Теперь вы можете следить за датой. Измените так, чтобы всякий раз, когда в dateChange появляется обновление, функция $ watch узнает, и вы можете затем обновить данные графика с уважением к выбору

Answer 2

$watch экспрессия ограничена формой eval, где выражение анализируется с помощью выражения AngularJS синтаксического анализа и оценены в отношении текущей области.

Хотя анализатор выражений AngularJS имеет меры безопасности против оценки произвольного JS-кода с реальным eval, угрозы безопасности все еще могут существовать, а известные уязвимости могут быть потенциально использованы в старых версиях рамок.

Это означает, что выражение $on.constructor('alert(1)')() не может быть оценено и не создаст угрозу безопасности в любой современной версии AngularJS. Но учитывая, что услуга $window была раскрыта в масштабе (что является обычной практикой для контроллеров ES6), можно оценить выражение $window.alert(1).

Это не может представлять угрозу безопасности:

$scope.$watch('myValue', function() { 
    console.log($scope.myValue); 
}); 

Это может представлять угрозу безопасности:

$scope.$watch($scope.myValue, function() { 
    console.log($scope.myValue); 
});