我只是读了你的意见从上一个答案。不知道你是否找到了解决方案。似乎你正在寻找一个白名单类型的东西。我最近发现这里有一个白名单功能$ sce。

取自AngularJS docs for $sceDelegateProvider：

angular.module('myApp',[]).config(function($sceDelegateProvider) {
 $sceDelegateProvider.resourceUrlWhitelist([
   // Allow same origin resource loads.
   'self',// Allow loading from our assets domain.  Notice the difference between * and **.
   'http://srv*.assets.example.com/**']);
 })

有了这个，你可以在iframe中进行字符串插值，像这样：

<iframe ng-src="{{ 'http://srv1.assets.example.com/' + url_asset }}"></iframe>