Як встановити атрибут src iframe зі змінної в AngularJS


214

Я намагаюся встановити srcатрибут iframe зі змінної, і я не можу змусити його працювати ...

Розмітка:

<div class="col-xs-12" ng-controller="AppCtrl">

    <ul class="">
        <li ng-repeat="project in projects">
            <a ng-click="setProject(project.id)" href="">{{project.url}}</a>
        </li>
    </ul>

    <iframe  ng-src="{{trustSrc(currentProject.url)}}">
        Something wrong...
    </iframe>
</div>

контролери / app.js:

function AppCtrl ($scope) {

    $scope.projects = {

        1 : {
            "id" : 1,
            "name" : "Mela Sarkar",
            "url" : "http://blabla.com",
            "description" : "A professional portfolio site for McGill University professor Mela Sarkar."
        },

        2 : {
            "id" : 2,
            "name" : "Good Watching",
            "url" : "http://goodwatching.com",
            "description" : "Weekend experiment to help my mom decide what to watch."    
        }
    };

    $scope.setProject = function (id) {
        $scope.currentProject = $scope.projects[id];
        console.log( $scope.currentProject );

    }
}

З цим кодом нічого не вставляється в srcатрибут iframe . Це просто пусто.

Оновлення 1: Я ввів $sceзалежність у AppCtrl і $ sce.trustUrl () тепер працює без помилок. Однак він повертає, TrustedValueHolderTypeщо я не впевнений, як використовувати для вставки фактичної URL-адреси. Повертається той самий тип, чи використовую я $ sce.trustUrl () всередині інтерполяційних дужок в атрибуті, src="{{trustUrl(currentProjectUrl))}}"або якщо я це роблю всередині контролера під час встановлення значення currentProjectUrl. Я навіть спробував це з обома.

Оновлення 2: я з'ясував, як повернути URL з довіреногоUrlHolder за допомогою .toString (), але коли я це роблю, він видає попередження безпеки, коли я намагаюся передати його в атрибут src.

Оновлення 3: Це працює, якщо я використовую trustAsResourceUrl () в контролері і передаю його змінній, що використовується в атрибуті ng-src:

$scope.setProject = function (id) {
    $scope.currentProject = $scope.projects[id];
    $scope.currentProjectUrl = $sce.trustAsResourceUrl($scope.currentProject.url);
    console.log( $scope.currentProject );
    console.log( $scope.currentProjectUrl );

}

Моя проблема, здається, вирішується цим, хоча я не зовсім впевнений, чому.

Відповіді:


360

Я підозрюю , дивлячись на виписку , що функція trustSrcвід trustSrc(currentProject.url)невизначений в контролері.

Ви повинні вводити $sceпослугу в контролері і там.trustAsResourceUrlurl

У контролері:

function AppCtrl($scope, $sce) {
    // ...
    $scope.setProject = function (id) {
      $scope.currentProject = $scope.projects[id];
      $scope.currentProjectUrl = $sce.trustAsResourceUrl($scope.currentProject.url);
    }
}

У шаблоні:

<iframe ng-src="{{currentProjectUrl}}"> <!--content--> </iframe>

1
Я спробував це з $ sce, як ви рекомендували. Це призводить до відмови повідомлення про помилку, але атрибут src iframe все ще порожній.
emersonthis

3
Спробуйте використовувати trustAsResourceUrl.
musically_ut

9
... але ця працює, коли я передаю її в атрибут ng-src! Дякую.
emersonthis

2
@Emerson trustAsResourceUrlповертає $sce.RESOURCE_URLнеобхідне для iframe/ в objectsтой час як trustAsUrlповертає a, $sce.URLщо є слабшим видом гарантії (і наразі не використовується, як це передбачено документацією ).
musically_ut

1
ng-src не працював для мене, якщо я не зняв подвійні фігурні дужки (ng-src = "currentProjectUrl")
baacke

10

Це $sceсервіс, який блокує URL-адреси із зовнішніми доменами, це сервіс, який надає строгі послуги контекстного уникнення програми AngularJS, щоб запобігти вразливим місцям безпеки, таким як XSS, clickjacking тощо. Це включено за замовчуванням у Angular 1.2.

Ви можете повністю відключити його, але це не рекомендується

angular.module('myAppWithSceDisabledmyApp', [])
   .config(function($sceProvider) {
       $sceProvider.enabled(false);
   });

для отримання додаткової інформації https://docs.angularjs.org/api/ng/service/$sce


3

таким чином я слідую за його роботою для мене прекрасно, нехай вона спрацює для вас,

<iframe class="img-responsive" src="{{pdfLoc| trustThisUrl }}" ng-style="{
                height: iframeHeight * 0.75 + 'px'
            }" style="width:100%"></iframe>

тут довіра. Цей Урл просто фільтр,

angular.module("app").filter('trustThisUrl', ["$sce", function ($sce) {
        return function (val) {
            return $sce.trustAsResourceUrl(val);
        };
    }]);

2

Видаліть дзвінок, щоб trustSrcфункціонувати, і повторіть спробу. {{trustSrc (currentProject.url)}} до {{currentProject.url}}. Перевірте це посилання http://plnkr.co/edit/caqS1jE9fpmMn5NofUve?p=preview


Але відповідно до Angular Js 1.2 Documentation, ви повинні написати функцію отримання srcURL-адреси. Погляньте на наступний код.

Перед:

Javascript

scope.baseUrl = 'page';
scope.a = 1;
scope.b = 2;

Html

<!-- Are a and b properly escaped here? Is baseUrl controlled by user? -->
<iframe src="{{baseUrl}}?a={{a}&b={{b}}"

Але з міркувань безпеки вони рекомендують наступний метод

Javascript

var baseUrl = "page";
scope.getIframeSrc = function() {

  // One should think about their particular case and sanitize accordingly
  var qs = ["a", "b"].map(function(value, name) {
      return encodeURIComponent(name) + "=" +
             encodeURIComponent(value);
    }).join("&");

  // `baseUrl` isn't exposed to a user's control, so we don't have to worry about escaping it.
  return baseUrl + "?" + qs;
};

Html

<iframe src="{{getIframeSrc()}}">

Документація надає цю пораду у випадку, якщо один є обов'язковим до більш ніж одного виразу в ng-srcабо src. Кутовий 1.2 далі, можна прив’язати лише один вираз до srcта, ng-srcі порада полягає в тому, щоб отримати URL-адресу з коду за допомогою функції, якщо потрібно.
musically_ut

Але я думаю, у вашому коді є якась помилка. Контролер повинен бути таким, як цей app.controller ('AppCtrl', функція ($ область) {});
Саджіт

1
Контролери можуть бути і глобально доступними функціями .
musically_ut

Гаразд. Перевірте це посилання Я перевірив ваш код у планку. plnkr.co/edit/caqS1jE9fpmMn5NofUve
Sajith

Я помітив функцію "trustSrc" у вашому коді. Видаліть цю функцію і повторіть спробу. {{trustSrc (currentProject.url)}} до {{currentProject.url}}
Саджіт

0

виберіть шаблон; контролер iframe, оновлення моделі

index.html

angularapp.controller('FieldCtrl', function ($scope, $sce) {
        var iframeclass = '';
        $scope.loadTemplate = function() {
            if ($scope.template.length > 0) {
                // add iframe classs
                iframeclass = $scope.template.split('.')[0];
                iframe.classList.add(iframeclass);
                $scope.activeTemplate = $sce.trustAsResourceUrl($scope.template);
            } else {
                iframe.classList.remove(iframeclass);
            };
        };

    });
    // custom directive
    angularapp.directive('myChange', function() {
        return function(scope, element) {
            element.bind('input', function() {
                // the iframe function
                iframe.contentWindow.update({
                    name: element[0].name,
                    value: element[0].value
                });
            });
        };
    });

iframe.html

   window.update = function(data) {
        $scope.$apply(function() {
            $scope[data.name] = (data.value.length > 0) ? data.value: defaults[data.name];
        });
    };

Перевірте це посилання: http://plnkr.co/edit/TGRj2o?p=preview


0

Вам також потрібно $sce.trustAsResourceUrlабо він не відкриє веб-сайт у iframe:

angular.module('myApp', [])
    .controller('dummy', ['$scope', '$sce', function ($scope, $sce) {

    $scope.url = $sce.trustAsResourceUrl('https://www.angularjs.org');

    $scope.changeIt = function () {
        $scope.url = $sce.trustAsResourceUrl('https://docs.angularjs.org/tutorial');
    }
}]);
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.23/angular.min.js"></script>

<div ng-app="myApp" ng-controller="dummy">
    <iframe ng-src="{{url}}" width="300" height="200"></iframe>
    <br>
    <button ng-click="changeIt()">Change it</button>
</div>

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.