angular 在插值（`{{ }}`）中对 html 特殊字符自动进行 html 实体编码（如 `` 标签被原样显示为纯文本，既不会被解析也不会执行，这是框架默认的安全防护机制。

在 Angular 中，插值绑定（{{ expression }}）本质上是文本绑定（text binding），而非 HTML 解析绑定。当你写：

{{ this.test }}

且 this.test = '' 时，Angular 并不会将该字符串当作 HTML 模板解析，而是将其视为纯文本内容，并通过 textContent（而非 innerHTML）插入 DOM。这意味着：

• 所有 , ", ', & 等字符会被自动转换为对应的 HTML 实体（例如
• 浏览器渲染时仅显示为可见文本，完全绕过 HTML 解析器和 JavaScript 引擎，因此
• 这一行为属于内置的、不可绕过的转义（escaping）机制，并非“未 sanitization”，而是比 DomSanitizer 更底层、更严格的默认策略。

⚠️ 注意：这与 [innerHTML] 的行为有本质区别。[innerHTML] 属于 HTML 绑定，Angular 会调用 DomSanitizer.sanitize() 对其进行 XSS 防护（如移除

✅ 正确理解关键点：

• ✅ 插值 = 安全优先的文本输出（自动 HTML 编码，零执行风险）；
• ✅ [innerHTML] = 有风险的 HTML 渲染（需经 DomSanitizer 审查，仍可能残留风险）；
• ❌ 不存在“插值未 sanitization”的问题——它不需要 sanitizer，因为它的设计目标就是杜绝任何执行上下文。

若确实需要动态渲染可信 HTML（如富文本编辑器内容），应显式使用 DomSanitizer.bypassSecurityTrustHtml()，并严格确保来源可信：

import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

constructor(private sanitizer: DomSanitizer) {}

getTrustedHtml(): SafeHtml {
  return this.sanitizer.bypassSecurityTrustHtml('Hello');
}

⚠️ 再次强调：bypassSecurityTrustHtml() 禁用所有安全检查，一旦传入恶意内容（如用户输入未过滤的 HTML），将直接导致 XSS 漏洞。生产环境务必避免绕过校验，优先采用白名单过滤或服务端净化。

总结：Angular 插值的安全性源于其语义本质——它不是 HTML 注入，而是文本注入。这种设计以牺牲灵活性换取了开箱即用的 XSS 防御能力，是框架“安全默认（secure by default）”理念的典型体现。