Como definir um atributo iframe src de uma variável no AngularJS

214

Estou tentando definir o srcatributo de um iframe de uma variável e não consigo fazê-lo funcionar ...

A marcação:

<div class="col-xs-12" ng-controller="AppCtrl">

    <ul class="">
        <li ng-repeat="project in projects">
            <a ng-click="setProject(project.id)" href="">{{project.url}}</a>
        </li>
    </ul>

    <iframe  ng-src="{{trustSrc(currentProject.url)}}">
        Something wrong...
    </iframe>
</div>

controllers / app.js:

function AppCtrl ($scope) {

    $scope.projects = {

        1 : {
            "id" : 1,
            "name" : "Mela Sarkar",
            "url" : "http://blabla.com",
            "description" : "A professional portfolio site for McGill University professor Mela Sarkar."
        },

        2 : {
            "id" : 2,
            "name" : "Good Watching",
            "url" : "http://goodwatching.com",
            "description" : "Weekend experiment to help my mom decide what to watch."    
        }
    };

    $scope.setProject = function (id) {
        $scope.currentProject = $scope.projects[id];
        console.log( $scope.currentProject );

    }
}

Com esse código, nada é inserido no srcatributo do iframe . Está apenas em branco.

Atualização 1: injetei a $scedependência no AppCtrl e $ sce.trustUrl () agora funciona sem gerar erros. No entanto, ele retorna TrustedValueHolderTypee não tenho certeza de como usar para inserir um URL real. O mesmo tipo é retornado se eu usar $ sce.trustUrl () dentro das chaves de interpolação no atributo src="{{trustUrl(currentProjectUrl))}}"ou se eu fizer isso dentro do controlador ao definir o valor de currentProjectUrl. Eu até tentei com os dois.

Atualização 2: Eu descobri como retornar o URL do confiávelUrlHolder usando .toString (), mas quando faço isso, ele lança o aviso de segurança ao tentar passá-lo para o atributo src.

Atualização 3: Funciona se eu usar trustAsResourceUrl () no controlador e passar isso para uma variável usada dentro do atributo ng-src:

$scope.setProject = function (id) {
    $scope.currentProject = $scope.projects[id];
    $scope.currentProjectUrl = $sce.trustAsResourceUrl($scope.currentProject.url);
    console.log( $scope.currentProject );
    console.log( $scope.currentProjectUrl );

}

Meu problema parece estar resolvido com isso, embora não tenha muita certeza do porquê.

emersonthis
fonte

Respostas:

359

Suspeito de olhar para o trecho que a função trustSrcde trustSrc(currentProject.url)não está definida no controlador.

Você precisa injetar o $sceserviço no controlador e trustAsResourceUrlno urllocal.

No controlador:

function AppCtrl($scope, $sce) {
    // ...
    $scope.setProject = function (id) {
      $scope.currentProject = $scope.projects[id];
      $scope.currentProjectUrl = $sce.trustAsResourceUrl($scope.currentProject.url);
    }
}

No modelo:

<iframe ng-src="{{currentProjectUrl}}"> <!--content--> </iframe>
musically_ut
fonte
1
Eu tentei com $ sce como você recomendou. Isso faz com que a mensagem de erro desapareça, mas o atributo src do iframe ainda está vazio.
emersonthis
3
Tente usar trustAsResourceUrl.
musically_ut
9
... mas este funciona quando eu o passo no atributo ng-src! Obrigado.
emersonthis
2
O @Emerson trustAsResourceUrlretorna um $sce.RESOURCE_URLque é necessário para iframe/ objectsenquanto trustAsUrlretorna um $sce.URLque é um tipo mais fraco de garantia (e atualmente não é usado conforme a documentação ).
Novamente
1
ng-src não funcionou para mim, se eu removido as chaves duplas (NG-src = "currentProjectUrl")
Baacke
10

É o $sceserviço que bloqueia URLs com domínios externos, é um serviço que fornece serviços de Escapamento Contextual Estrito ao AngularJS, para evitar vulnerabilidades de segurança como XSS, clickjacking, etc. é ativado por padrão no Angular 1.2.

Você pode desativá-lo completamente, mas não é recomendado

angular.module('myAppWithSceDisabledmyApp', [])
   .config(function($sceProvider) {
       $sceProvider.enabled(false);
   });

para mais informações https://docs.angularjs.org/api/ng/service/$sce

Mohamed Selim
fonte
3

desta forma eu sigo e seu trabalho para mim está bem, que funcione para você,

<iframe class="img-responsive" src="{{pdfLoc| trustThisUrl }}" ng-style="{
                height: iframeHeight * 0.75 + 'px'
            }" style="width:100%"></iframe>

aqui trustThisUrl é apenas filtro,

angular.module("app").filter('trustThisUrl', ["$sce", function ($sce) {
        return function (val) {
            return $sce.trustAsResourceUrl(val);
        };
    }]);
chandrakant
fonte
2

Remova a chamada para a trustSrcfunção e tente novamente assim. {{trustSrc (currentProject.url)}} para {{currentProject.url}}. Verifique este link http://plnkr.co/edit/caqS1jE9fpmMn5NofUve?p=preview


Mas, de acordo com a documentação do Angular Js 1.2, você deve escrever uma função para obter o srcURL. Dê uma olhada no código a seguir.

Antes:

Javascript

scope.baseUrl = 'page';
scope.a = 1;
scope.b = 2;

Html

<!-- Are a and b properly escaped here? Is baseUrl controlled by user? -->
<iframe src="{{baseUrl}}?a={{a}&b={{b}}"

Mas, por motivos de segurança, eles recomendam o seguinte método

Javascript

var baseUrl = "page";
scope.getIframeSrc = function() {

  // One should think about their particular case and sanitize accordingly
  var qs = ["a", "b"].map(function(value, name) {
      return encodeURIComponent(name) + "=" +
             encodeURIComponent(value);
    }).join("&");

  // `baseUrl` isn't exposed to a user's control, so we don't have to worry about escaping it.
  return baseUrl + "?" + qs;
};

Html

<iframe src="{{getIframeSrc()}}">
Sajith
fonte
A documentação fornece esse conselho, caso um esteja vinculado a mais de uma expressão em ng-srcou src. Angular 1,2 em diante, pode-se ligar a um único expressão em srce ng-srce o conselho é para recuperar um URL a partir do código a utilizar uma função, se necessário.
Novamente
Mas acho que há algum erro no seu código. O controlador deve ser como este app.controller ('AppCtrl', function ($ scope) {});
Sajith
1
Os controladores também podem ser funções acessíveis globalmente .
Novamente
Está bem. Verifique este link Eu verifiquei seu código com plunker. plnkr.co/edit/caqS1jE9fpmMn5NofUve
Sajith
Eu notei uma função "trustSrc" no seu código. Por favor, remova essa função e tente novamente assim. {{trustSrc (currentProject.url)}} para {{currentProject.url}}
Sajith
0

selecione modelo; controlador iframe, atualização do modelo ng

index.html

angularapp.controller('FieldCtrl', function ($scope, $sce) {
        var iframeclass = '';
        $scope.loadTemplate = function() {
            if ($scope.template.length > 0) {
                // add iframe classs
                iframeclass = $scope.template.split('.')[0];
                iframe.classList.add(iframeclass);
                $scope.activeTemplate = $sce.trustAsResourceUrl($scope.template);
            } else {
                iframe.classList.remove(iframeclass);
            };
        };

    });
    // custom directive
    angularapp.directive('myChange', function() {
        return function(scope, element) {
            element.bind('input', function() {
                // the iframe function
                iframe.contentWindow.update({
                    name: element[0].name,
                    value: element[0].value
                });
            });
        };
    });

iframe.html

   window.update = function(data) {
        $scope.$apply(function() {
            $scope[data.name] = (data.value.length > 0) ? data.value: defaults[data.name];
        });
    };

Verifique este link: http://plnkr.co/edit/TGRj2o?p=preview

Osman Selvi
fonte
0

Você também precisa $sce.trustAsResourceUrlou ele não abre o site dentro do iframe:

angular.module('myApp', [])
    .controller('dummy', ['$scope', '$sce', function ($scope, $sce) {

    $scope.url = $sce.trustAsResourceUrl('https://www.angularjs.org');

    $scope.changeIt = function () {
        $scope.url = $sce.trustAsResourceUrl('https://docs.angularjs.org/tutorial');
    }
}]);
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.23/angular.min.js"></script>

<div ng-app="myApp" ng-controller="dummy">
    <iframe ng-src="{{url}}" width="300" height="200"></iframe>
    <br>
    <button ng-click="changeIt()">Change it</button>
</div>

Abdo-Host
fonte