Angularとサーバーサイドテンプレートの混在 先日リリースされた某サービス(他社)がAngularを使っていて、XSSがボロボロ出てくるだとか、{{var}} な形式で値を入力するとng-template側でテンプレーティングされるだとかの話がありました。 詳しくは見ていないので、今回の話とまったく同じかは把握していませんが、サーバーサイドテンプレートを混在させると、次のようなことが起こりえます。 例えばejsとAngular サンプルとしてスカスカなControllerを用意します。 angular.module('app', []).controller('AcmeCtrl', function($scope) { $scope.foo = 'bar'; }); ejsは次のようなテンプレートになっているとします。
![AngularJSとサーバーサイドテンプレートの混在とngNonBindable](https://cdn-ak-scissors.b.st-hatena.com/image/square/2183e9bbc25dbbdb50624f0d9497aa7861959398/height=288;version=1;width=512/https%3A%2F%2Fhavelog.aho.mu%2Fogp-default.jpg)