AngularJS ng-bind-html 指令（手把手讲解）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;演示链接： http://116.62.199.48:7070 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 90w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 3100+ 小伙伴加入学习 ，欢迎点击围观

前言

在 AngularJS 开发中，数据绑定是框架的核心特性之一。然而，当需要动态渲染包含 HTML 标签的内容时，默认的 {{ }} 语法或 ng-bind 指令会将内容视为纯文本处理，导致标签被转义。此时，AngularJS ng-bind-html 指令 就成为了解决这一问题的关键工具。本文将从基础概念、使用场景、代码示例到安全注意事项，逐步解析这一指令的功能与实践技巧，帮助开发者快速掌握其实用性。

一、什么是 AngularJS ng-bind-html 指令？

ng-bind-html 是 AngularJS 中用于渲染 HTML 内容的内置指令。它允许开发者将变量中的 HTML 字符串直接插入到视图中，并触发 AngularJS 的 HTML 编译机制，从而实现标签的正确解析。

与默认绑定方式的区别

默认的 {{ }} 或 ng-bind 会自动对内容进行转义，例如：

<!-- 默认行为会转义 HTML 标签 -->  
<div>{{ content }}</div>  

如果变量 content 的值为 <p>这是一个段落</p>，实际渲染结果会是纯文本 <p>这是一个段落</p>。而 ng-bind-html 则会直接渲染为：

<div ng-bind-html="content"></div>  
<!-- 输出：一个段落 -->  

核心功能比喻

可以将 ng-bind-html 想象为一个“HTML 快递员”：它接收服务器或控制器传递的 HTML 内容包裹，直接将其交付到页面上，而不会拆开包裹检查内容。这种“无过滤”特性既带来了灵活性，也伴随潜在风险（后文会详细说明）。

二、基础使用场景与代码示例

场景 1：动态渲染富文本内容

假设需要从后端获取包含 HTML 格式的富文本（如 Markdown 转换后的文本），此时 ng-bind-html 是理想选择。

示例代码

<!-- HTML 模板 -->  
<div ng-controller="ContentCtrl">  
  <div ng-bind-html="richTextContent"></div>  
</div>  

// 控制器代码  
app.controller('ContentCtrl', ['$scope', function($scope) {  
  $scope.richTextContent = '<h2>标题</h2><p>这是带格式的正文内容。</p>';  
}]);  

输出结果

页面会渲染为：

<div>  
  <h2>标题</h2>  
  <p>这是带格式的正文内容。</p>  
</div>  

场景 2：动态插入第三方内容（如广告或用户生成内容）

当需要从外部源动态插入 HTML 内容时，例如显示广告代码或用户提交的 HTML 表单内容，ng-bind-html 能快速实现动态渲染。

示例代码（用户提交的 HTML 表单）

<form ng-submit="submitContent()">  
  <textarea ng-model="userInput"></textarea>  
  <button type="submit">提交</button>  
</form>  

<div ng-bind-html="displayContent"></div>  

app.controller('FormCtrl', ['$scope', function($scope) {  
  $scope.displayContent = '';  
  $scope.submitContent = function() {  
    $scope.displayContent = $scope.userInput;  
  };  
}]);  

注意事项

此示例展示了功能实现，但未考虑安全性问题。用户可能通过输入 script 标签注入恶意代码，因此需要结合安全策略（如后续提到的 $sanitize 服务）进行防护。

三、深入理解：HTML 编译与安全风险

AngularJS 的 HTML 编译机制

当使用 ng-bind-html 渲染内容时，AngularJS 会触发其内置的 HTML 编译器（$compile 服务），将 HTML 字符串转换为 DOM 节点，并绑定对应的事件和指令。这一过程分为两步：

1. 解析 HTML 结构：将字符串分解为标签、属性和文本节点。
2. 绑定行为：为节点添加 AngularJS 相关的指令或事件监听器。

安全风险：XSS（跨站脚本攻击）

由于 ng-bind-html 默认会直接渲染 HTML 内容，若内容包含恶意代码（如 <script> 标签），可能引发 XSS 攻击。例如：

// 恶意用户输入的代码  
$scope.userInput = '<script>alert("恶意代码执行！");</script>';  

此时，页面会弹出警告框，造成数据泄露或页面劫持。

四、安全防护：$sanitize 服务的使用

为避免 XSS 攻击，AngularJS 提供了 $sanitize 服务，用于过滤并“净化” HTML 内容，仅保留安全的标签和属性。

步骤说明

1. 注入 $sanitize 服务：在控制器或服务中注入 $sanitize。
2. 过滤危险标签：通过 $sanitize 处理 HTML 字符串，去除不可信标签（如 <script>）。

示例代码

app.controller('SafeContentCtrl', ['$scope', '$sanitize', function($scope, $sanitize) {  
  $scope.userInput = '<p>正常内容</p><script>alert("恶意代码");</script>';  
  // 使用 $sanitize 过滤内容  
  $scope.sanitizedContent = $sanitize($scope.userInput);  
}]);  

<div ng-bind-html="sanitizedContent"></div>  

输出结果

页面仅渲染 <p>正常内容</p>，而 <script> 标签被自动移除。

白名单机制

$sanitize 默认基于 Google 的 Caja 项目实现，其允许的标签和属性包括：
| 允许的标签 | 允许的属性 |
|--------------------------|---------------------------|
| <a>, <b>, <i>, <u> | href, target, title |
| <p>, <br>, <div> | style（部分 CSS 属性） |

若需自定义白名单，需通过扩展 AngularJS 的 $sanitize 配置（此操作较复杂，建议仅在必要时进行）。

五、进阶技巧与常见问题解答

技巧 1：结合 AngularJS 指令动态渲染

可通过自定义指令结合 ng-bind-html，实现更复杂的 HTML 渲染逻辑。例如，动态插入带有 AngularJS 表达式的标签：

示例代码

app.directive('dynamicHtml', ['$compile', function($compile) {  
  return {  
    restrict: 'A',  
    link: function(scope, element, attrs) {  
      // 动态编译 HTML 内容  
      element.html(scope.$eval(attrs.dynamicHtml));  
      $compile(element.contents())(scope);  
    }  
  };  
}]);  

<div dynamic-html="dynamicContent"></div>  

$scope.dynamicContent = '<button ng-click="alertMessage()">点击我</button>';  

此示例中，按钮的 ng-click 事件会正常绑定到控制器的 alertMessage 方法。

技巧 2：与 AngularJS 表达式结合使用

若需在 HTML 内容中插入动态变量，可在控制器中拼接字符串：

$scope.userName = 'Alice';  
$scope.content = '<span>欢迎，' + $scope.userName + '</span>';  

<div ng-bind-html="content"></div>  

常见问题

Q：为什么使用了 ng-bind-html 后内容还是未渲染？
A：可能原因包括：

• 未注入 $sce 服务（见下文）；
• HTML 内容未正确赋值；
• AngularJS 未编译动态插入的 DOM 节点。

Q：如何在 AngularJS 中实现类似 Vue.js 的 v-html 功能？
A：ng-bind-html 的功能与 Vue.js 的 v-html 完全一致，但需注意安全防护。

六、与 $sce 服务的协同工作

AngularJS 的 $sce（Strict Contextual Escaping）服务用于管理“信任的 HTML 内容”。当从外部源（如 API 或用户输入）获取内容时，需通过 $sce.trustAsHtml 标记为安全内容，否则 ng-bind-html 会报错。

示例代码

app.controller('SceCtrl', ['$scope', '$sce', function($scope, $sce) {  
  const unsafeHtml = '<em>信任的 HTML</em>';  
  // 标记为安全内容  
  $scope.safeContent = $sce.trustAsHtml(unsafeHtml);  
}]);  

<div ng-bind-html="safeContent"></div>  

何时需要使用 $sce？

• 当内容来自不可信来源（如用户输入）时，需结合 $sanitize 和 $sce：

  $scope.safeContent = $sce.trustAsHtml($sanitize(userInput));  
  

• 对于完全可信的内容（如静态模板），可直接使用 $sce 标记。

结论

AngularJS ng-bind-html 指令 是处理动态 HTML 内容渲染的核心工具，但其灵活性也伴随着安全风险。开发者需遵循以下原则：

1. 默认使用安全过滤：始终通过 $sanitize 过滤用户输入或不可信内容；
2. 合理标记可信内容：对静态或可信 HTML 使用 $sce.trustAsHtml；
3. 避免直接渲染未知来源内容：严格限制用户输入的 HTML 格式。

通过结合 $sanitize 和 $sce，开发者既能充分利用 ng-bind-html 的功能，又能构建安全、可靠的 AngularJS 应用。对于进阶需求，还可探索自定义指令或结合第三方库（如 DOMPurify）实现更精细的 HTML 过滤。

掌握这一指令后，开发者可以更自信地处理富文本渲染、动态广告插入等复杂场景，进一步提升 AngularJS 项目的开发效率。