Así que el otro día en el trabajo noté este código en una de nuestras aplicaciones web:
this.activatedRoute.params.subscribe(params => {
this.a = params['b'];
});
y luego en el HTML:
{{a}}
Básicamente, si navego a enlace , la cadena "lol" se insertará en la página. Mi intuición me dice que esto no es del todo correcto ya que potencialmente puedes inyectar código malicioso en la url, pero hasta ahora no he tenido suerte al hacerlo porque o bien la url no coincide correctamente o angular simplemente inserta el parámetro como simple cadena en la página para que no sea interpretada por el navegador.
¿No hay absolutamente ninguna manera de que un atacante pueda explotar esto?