En este tema vamos a ver 3 directivas que están muy relacionada entre sí y con las llaves ”{{ }}” de Angular:
Estas 3 directivas permiten tratar cómo se enlazan los datos de $scope
en la página HTML.
Permite que se enlace una propiedad del $scope
mediante esta directiva en vez de usar ”{{ }}”.
$scope.mensaje = "Hola Mundo";
<div>{{mensaje}}</div> <div ng-bind="mensaje"></div>
Las 2 líneas hacen los mismo. Entonces , ¿qué ventaja tiene ng-bind
? Resulta que hasta que se carga AngularJS y cambia el valor de {{mensaje}}
por el texto definitivo, durante un pequeño instante de tiempo el usuario final vería {{mensaje}}
, lo que queda muy feo. Para evitarlo se debe usar la directiva ng-bind
.
¿Hay entonces que dejar de usar ”{{ }}”? No. Más adelante veremos que, a excepción de la primera página, AngularJS cargará el resto de páginas de tu aplicación. En el caso de que AngularJS las cargue ya aparecerían con el texto correcto antes de mostrarlo al usuario final, por lo que en esos casos se puede seguir usando ”{{ }}”.
¿Cuándo se usa entonces ng-bind
? Únicamente en la primera página de la aplicación ya que ésa no la carga AngularJS.
Si cambiamos el ejemplo para que el texto de la propiedad $scope.mensaje
sea “Hola <strong>Mundo</strong>” veremos que el texto que aparece es “Hola <strong>Mundo</strong>” . Es decir, que no se ha renderizado el tag <strong»
ya que AngularJs lo ha tratado como texto.
Si queremos que el valor se trate como HTML deberemos usar la directiva ng-bind-html
. Para usar esta directiva antes es necesario cargar el módulo de AngularJS llamado ngSanitize
, el cual está en un fichero aparte de AngularJS llamado “angular-sanitize.js”
Veamos un ejemplo con el texto “Hola <strong>Mundo</strong>”, es decir haciendo que Mundo esté en negrita:
<!DOCTYPE html> <html ng-app="app"> <head> <script src="//ajax.googleapis.com/ajax/libs/angularjs/1.2.19/angular.js"></script> <script src="//ajax.googleapis.com/ajax/libs/angularjs/1.2.19/angular-sanitize.js"></script> <script src="script.js"></script> </head> <body ng-controller="PruebaController"> <div ng-bind="mensaje"></div> <div ng-bind-html="mensaje"></div> </body> </html>
var app = angular.module("app", ['ngSanitize']); app.controller("PruebaController", function($scope) { $scope.mensaje = "Hola <strong>Mundo</strong>"; });
<strong>
ng-bind-html
es un riesgo de seguridad ya que nos podrían hacer un ataque de Cross-site scripting inyectando JavaScript malicioso . Por suerte AngularJS no permite cualquier tipo de HTML y limita los tag que permitirá.
Por ejemplo si el valor del mensaje fuera:
$scope.mensaje = "Hola <script>alert('hola mundo');</script>";
al mostrarlo en la página no se ejecutaría el alert
ya que angular no va a permitir nada que esté dentro del tag <script>
.
Esta última directiva lo que permite es que *NO** se enlacen las ”{{ }}” aunque aparezcan. Es simplemente una forma de escapar de las ”{{ }}” para que Angular no las trate.
Veamos un ejemplo
$scope.mensaje = "Hola Mundo";
<div ng-non-bindable>{{mensaje}}</div>
El resultado de ésto sigue siendo el texto ”{mensaje}}”, es decir sin tratar por AngularJS.
ng-show
o ng-hide
debe verse el elemento.
De esa forma se evita que inicialmente se vea un bloque HTML que deba ocultarse al iniciarse AngularJS, cosa que queda muy fea de cara al usuario. Es decir que cumple una función similar a ng-bind
pero para elementos que luego se harán invisibles.