一、AngularJS动态模板XSS攻击原理与危害

在AngularJS应用中，动态加载用户提供的模板内容时，若未进行严格过滤，攻击者可构造恶意代码注入到模板中。当AngularJS的$compile服务解析这些内容时，会执行恶意脚本，形成XSS（跨站脚本）攻击。例如：

<div ng-bind-html="unsafeUserContent"></div> // 未过滤的动态内容

攻击者提交{{constructor.constructor('alert(1)')()}}这类payload，即可触发任意代码执行。此类漏洞危害极大，可导致用户数据泄露、会话劫持，甚至控制企业云环境。

二、攻击场景实例演示

步骤1：构造恶意输入

攻击者在用户输入框提交以下内容：

<div ng-app>
  {{ 'a'.constructor.prototype.charAt=[].join;
    [1]|orderBy:'x=alert(`阿里云数据泄露!`)' }}
</div>

步骤2：动态模板解析漏洞触发

当应用使用$compile编译该内容时，AngularJS的表达式解析机制会执行alert()函数，弹出警告框。实际攻击中可能窃取localStorage中的阿里云AK密钥或Cookie信息。

步骤3：攻击扩散

通过钓鱼邮件或劫持的管理后台，攻击者可进一步渗透企业云服务器、数据库等核心资源。

三、阿里云安全体系与代理商协同防御方案

防御实践示例

// 安全方案1：严格内容过滤
app.controller('safeCtrl', function($scope, $sce) {
  $scope.trustedContent = $sce.trustAsHtml(filterXSS(userInput)); 
  // 使用阿里云安全组件过滤
});

// 安全方案2：禁用动态模板
angular.module('app').config(function($compileProvider){
  $compileProvider.debugInfoEnabled(false); // 关闭调试信息
});