规避使用 vue 的 v-html 指令的方法

最新推荐文章于 2024-04-23 14:26:50 发布
最新推荐文章于 2024-04-23 14:26:50 发布
阅读量2.3w 收藏 4
点赞数 2
分类专栏: vue笔记 文章标签: vue v-html pre xss 规避xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyluo17/article/details/76563254
版权

一、引言

前一阵子在写业务的时候,发现公司的代码里,有个场景是这样的:需要用户定义一些活动规则,然后在左边的手机预览图中,实时显示出这些活动规则。

于是,同事用了一个带 v-html 指令的 <textarea> 标签,并且将双向数据绑定之后的变量 str 直接用 v-html="str"str 绑定在 DOM 上,然后用户输入的规则显示在左边的预览图中。

二、思考

但我们在学 vue 的教程的时候,都学到过 v-html 指令的简介里有这么一句话

你的站点上动态渲染的任意 HTML 可能会非常危险,因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值,绝不要对用户提供的内容插值

其实业务场景蛮简单的,面向的用户也一般不会输入标签这些东西,这样使用固然省事,但是却留下了一个很明显的安全隐患。于是,我就开始思考怎样去避免 XSS 攻击。

三、解决办法

我一开始想用一个 <div> 标签以文本插值的方式,即 <div>{{str}}</div> 来实现。结果,可想而知,str 里头的换行符——\n 被显示成一个空格,加 <br> 则直接被当成字符串直接显示了出来!!!

在我 Google 了一番下,终于找到了一个比较优雅的方式,来解决上面的问题。即仍然使用文本差值,不过使用 <pre> 标签替换掉 <div> 标签。下图为示例代码:

规避使用 *vue* 的 <code>v-html</code> 指令的方法

总的来说,利用的就是 <pre> 标签的这个功能:被包围在 <pre> 元素中的文本通常会保留空格和换行符,并且文本也会呈现为等宽字体。

四、更多

想了解更多关于 <pre> 标签的,可以戳这里!

关于这个办法的来源,源自于 我是程序员 网的这个页面。欲知详情,请戳这里~

沐风的心
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue v-text指令简单使用方法示例
12-30
本文实例讲述了Vue v-text指令简单使用方法。分享给大家供大家参考,具体如下: <!DOCTYPE html> <html lang=en> <head> <meta charset=UTF-8> <title>v-text</title> [removed][removed] </head> <body> <h1>v-text</h1> <hr> <div id=app> <span v-text=text
mpvue v-html 代替方法 使用 mpvue-wxparse
solocao的专栏
11-29 3929
vue项目中有时候会使用到v-html,而在mpvue中,也有代替品mpvue-wxparse。 1、安装mpvue-wxparse 2、使用,详情可见官网 https://github.com/F-loat/mpvue-wxParse &lt;template&gt; &lt;div&gt; &lt;wxParse :content="article" @preview="prev...
网络安全---Vue中解决XSS(跨站脚本攻击)
总结、沉淀、提升
02-26 664
Vue中解决XSS的办法是...
vue以组件来代替html,vue API 知识点(4) --- 指令、特殊 attribute 、内置组件
weixin_36127579的博客
06-29 798
一、指令1.v-text{{ msg }}2.v-html更新元素的 innerHTML ,内容按普通 HTML 插入,不会作为 Vue 模板进行编译,如果试图使用 v-html 组合模板,可以重新考虑是否通过使用组件来代替在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 XSS 攻击,只在可信内容上使用 v-html ,永不用在用户提交的内容上在单文件组件里, scoped 的样式不会...
vue v html安全,vue 中控制v-html 中的样式,但不影响全局的小技巧
weixin_30413765的博客
06-20 549
我们知道在 Vue 中,style可以用两种方式来导入:// method1@import ('./a.css');//method2复制代码但是不管哪一种,导进的css文件都是应用于全局的,有时候我们不想要这样的效果。而要使得css只对当前的组件有效,即局部应用。vue中提供了scoped属性,可以很好地解决该问题。当我们有如下应用场景时,新的问题又出现了:export default {dat...
vue 异步操作生成DOM替代v-html
qq_21579949的博客
09-12 377
vue 动态异步创建节点;vue html转canvas 图片; vue 代替 v-html 异步操作解决方案;
v-html防止XSS注入
Liingot的博客
08-19 3882
vue-dompurify-html插件 安装 cnpm install vue-dompurify-html 引入 import VueDOMPurifyHTML from 'vue-dompurify-html' Vue.use(VueDOMPurifyHTML) 使用 <div v-dompurify-html="rawHtml"></div> 为什么使用vue-dompurify-html,不用XSS插件呢? 因为使用XSS插件他会把除了标签和内容之外的所有东西都给过
[Vue]Vue的其他内置指令
emmmm.....
10-10 557
1. 学过的指令的总结 2. v-text 指令 3. v-html 指令 3.1 示例 3.2 v-html 的安全性问题 3.3 v-html 总结 4. v-cloak 指令 5. v-once 指令 6. v-pre 指令
vue使用v-html防止xss注入
aGreetSmile的博客
06-25 1748
通常我们处理xss攻击使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在的xss漏洞问题。
避免使用 vue 的 v-html 指令
I大俊
10-20 4574
一、问题说明 在日常的后台系统中经常会有输入框的业务,最近有个业务是这样子的:编辑文章信息,生成可预览的文章信息卡片。我看到代码中有个信息是这样处理的: <div v-html="title"></div> 并且title是用v-model绑定的,直接用v-html插入Dom中 巧的是测试人员很有专业素养,直接输入一段script,alert脚本,问题就出来了,直接弹出 ...
前端vue-dompurify-html替代v-html,避免出现xss攻击
weixin_64310738的博客
02-16 2553
前端vue-dompurify-html替代v-html,避免出现xss攻击
vue-append:vue-append,类似于v-html指令,但可以调用javascript函数
05-25
vue-append,类似于v-html指令,但可以调用javascript函数 安装 npm install vue-append --save # or yarn add vue-append ES6模块 通过npm作为vue-append可用。 import VueAppend from 'vue-append' Vue . use ...
vue.js指令v-model实现方法
10-20
主要为大家详细介绍了vue.js指令v-model实现方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
vue通过v-html指令渲染的富文本无法修改样式的解决方案
01-19
在最近的vue项目中遇到的问题:v-html渲染的富文本,无法在样式表中修改样式。 代码如下,div.article-context里面的图片修改成自适应,但是没有任何效果。 <div class=article-context v-...
什么是 XSS 攻击?
m0_38066007的博客
04-23 54
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 941
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
vue v-show指令
05-13
`v-show` 是 Vue.js 框架中的一个指令,用于根据表达式的值来控制元素的显示和隐藏。它的作用类似于 CSS 中的 `display` 属性,但是它是基于 Vue.js 的响应式系统实现的,可以动态地根据数据的变化来控制元素的显示和隐藏。 使用 `v-show` 指令非常简单,只需要将它绑定到需要控制显示和隐藏的元素上,并将它的值设置为一个表达式,这个表达式的值为真时元素显示,为假时元素隐藏。例如: ```html <div v-show="isShow">这是一个被v-show指令控制显示和隐藏的元素</div> ``` 在这个例子中,`isShow` 是一个在 Vue 实例中定义的变量,它的值为真或假,根据这个值,`div` 元素会被显示或隐藏。 需要注意的是,使用 `v-show` 指令控制元素的显示和隐藏时,元素仍然存在于 DOM 树中,只是在页面上不可见,所以它不会影响到布局。因此,如果需要完全从页面中删除元素,可以考虑使用 `v-if` 指令

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值