¿Es seguro insertar parámetros de url directamente en la página en angular 2+?

0

Así que el otro día en el trabajo noté este código en una de nuestras aplicaciones web:

this.activatedRoute.params.subscribe(params => {
    this.a = params['b'];
});

y luego en el HTML:

{{a}}

Básicamente, si navego a enlace , la cadena "lol" se insertará en la página. Mi intuición me dice que esto no es del todo correcto ya que potencialmente puedes inyectar código malicioso en la url, pero hasta ahora no he tenido suerte al hacerlo porque o bien la url no coincide correctamente o angular simplemente inserta el parámetro como simple cadena en la página para que no sea interpretada por el navegador.

¿No hay absolutamente ninguna manera de que un atacante pueda explotar esto?

    
pregunta Tudor 03.08.2017 - 10:34
fuente

2 respuestas

3

Como se indica en la página de seguridad de angular , el contenido interpolado siempre se escapa. A menos que la aplicación marque explícitamente el contenido como confiable con DomSanitizer o haya una vulnerabilidad en angular, no hay forma de que un atacante pueda explotar esto.

    
respondido por el user2313067 03.09.2017 - 10:39
fuente
0

Si el usuario que ingresa la url es el que lo verá nuevamente, no hay problema.
Los atacantes no quieren atacarse a sí mismos.

    
respondido por el user155462 03.08.2017 - 13:33
fuente

Lea otras preguntas en las etiquetas