angular 在插值(`{{ }}`)中对 html 特殊字符自动进行 html 实体编码(如 `` 标签被原样显示为纯文本,既不会被解析也不会执行,这是框架默认的安全防护机制。
在 Angular 中,插值绑定({{ expression }})本质上是文本绑定(text binding),而非 HTML 解析绑定。当你写:
{{ this.test }}
且 this.test = '' 时,Angular 并不会将该字符串当作 HTML 模板解析,而是将其视为纯文本内容,并通过 textContent(而非 innerHTML)插入 DOM。这意味着:
- 所有 , ", ', & 等字符会被自动转换为对应的 HTML 实体(例如
- 浏览器渲染时仅显示为可见文本,完全绕过 HTML 解析器和 JavaScript 引擎,因此
- 这一行为属于内置的、不可绕过的转义(escaping)机制,并非“未 sanitization”,而是比 DomSanitizer 更底层、更严格的默认策略。
⚠️ 注意:这与 [innerHTML] 的行为有本质区别。[innerHTML] 属于 HTML 绑定,Angular 会调用 DomSanitizer.sanitize() 对其进行 XSS 防护(如移除
✅ 正确理解关键点:
- ✅ 插值 = 安全优先的文本输出(自动 HTML 编码,零执行风险);
- ✅ [innerHTML] = 有风险的 HTML 渲染(需经 DomSanitizer 审查,仍可能残留风险);
- ❌ 不存在“插值未 sanitization”的问题——它不需要 sanitizer,因为它的设计目标就是杜绝任何执行上下文。
若确实需要动态渲染可信 HTML(如富文本编辑器内容),应显式使用 DomSanitizer.bypassSecurityTrustHtml(),并严格确保来源可信:
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';
constructor(private sanitizer: DomSanitizer) {}
getTrustedHtml(): SafeHtml {
return this.sanitizer.bypassSecurityTrustHtml('Hello');
}⚠️ 再次强调:bypassSecurityTrustHtml() 禁用所有安全检查,一旦传入恶意内容(如用户输入未过滤的 HTML),将直接导致 XSS 漏洞。生产环境务必避免绕过校验,优先采用白名单过滤或服务端净化。
总结:Angular 插值的安全性源于其语义本质——它不是 HTML 注入,而是文本注入。这种设计以牺牲灵活性换取了开箱即用的 XSS 防御能力,是框架“安全默认(secure by default)”理念的典型体现。
