原 controller ：

$scope.myURL = URL;

页面：

<iframe ng-src='{{myURL}}' class="width-100 height-100"></iframe>

发现页面不能打开 <iframe> 中的内容。

现在将controller 中改写如下 即可：

$scope.myURL= $sce.trustAsResourceUrl(URL); //URL 为全链接（$sce.trustAsResourceUrl("http://" + url)）

trustAsResourceUrl是AngularJS中防止用户注入 URL 的方法。