文章强调了在Vue中避免使用用户提供的JavaScript进行DOM操作以防止安全风险,如通过HTML属性(如onclick)绑定用户输入的JavaScript。推荐避免服务端渲染或用户内容挂载到Vue,并提倡审查第三方组件的影响。同时,指出后端应关注CSRF和XSS等安全问题,前后端需协同确保安全交互。
javascript的危险
我们强烈不鼓励使用 Vue 渲染 <script>元素,因为模板和渲染函数永远不应该产生副作用。然而,这并不是唯一包含可能在运行时会被视为 JavaScript 的字符串。
每个 HTML 元素都有接受 JavaScript 字符串作为其值的 attribute,如 onclick、onfocus 和 onmouseenter。将用户提供的 JavaScript 绑定到它们任意当中都是一个潜在的安全风险,因此应该避免。
注:永远不要认为用户提供的 JavaScript 是 100% 安全的,除非它是在一个 iframe 沙盒里或者应用中只有编写该 JavaScript 的用户可以接触到它。最佳实践是永远不要向 Vue 挂载可能包含服务端渲染或用户提供的内容。
然后利用学到的知识,对那些包含了第三方组件或通过其它方式影响渲染到 DOM 的内容的依赖的源代码进行重新审查,以发现潜在的危险模式。
后端协作
HTTP 安全漏洞,诸如伪造跨站请求 (CSRF/XSRF) 和跨站脚本注入 (XSSI),都是后端重点关注的方向,因此并不是 Vue 所担心的。尽管如此,和后端团队交流学习如何和他们的 API 最好地进行交互,例如在表单提交时提交 CSRF token,永远是件好事。
扫一扫
866
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
