Make sure bypassing Vue built-in sanitization is safe here.

最新推荐文章于 2024-10-05 01:22:45 发布
最新推荐文章于 2024-10-05 01:22:45 发布
阅读量810 收藏
点赞数
分类专栏: sonarqube 文章标签: vue.js 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG_15011399296/article/details/134646089
版权

一、问题描述

二、问题分析

XSS(跨站脚本攻击)

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
我们想个问题:如果你能够在别人的网站里植入JS,你会干嘛?如果我们可以在一个网站里植入自己的js代码,我们就拥有了无限的可能,比如:无限弹窗、篡改网站页面、获取用户信息等等。甚至你可以在网站里植入广告,以此来获取大量利润,这都是完全可以实现的。所以XSS的危害是巨大的,作为一个前端开发人员不得不小心。
 

innerHTML、document.write()、eval这三个,只要网站中使用了这三种输出方式,那么容易引入XSS攻击。

由于v-html会执行所有的html代码,因此会执行所有可能带危险的html代码

 2.在使用v-html时为了防止XSS攻击,可以安装 npm install xss 插件,但是我们在渲染富文本编辑的文章时,使用XSS会把除了标签和内容之外的所有东西都给过滤掉,如calss,style过滤掉,那么样式就展现不出来了,导致美观度不够。

三、问题解决

  1. 转义特殊字符

此处代码已经做转义,咱不算问题

  1. 使用封装后的,比如vue-dompurify-html,使用vue-dompurify-html既可以保留样式和防止xss攻击
// 安装:
         npm install vue-dompurify-html

 // 引入:
         import VueDOMPurifyHTML from 'vue-dompurify-html'
         Vue.use(VueDOMPurifyHTML)
 // 使用:
         <div v-dompurify-html="rawHtml"></div>

问题解决方案:

输入做过滤,输出做转义

过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字;
所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义;

防止执行js代码

明算科
关注
专栏目录
* swiper in ./node_modules/vue-awesome-swiper/dist/vue-awesome-swiper.js
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-15 4858
项目安装swiper轮播后,启动报错:
vue-cli 3.x vue.config.js配置(包含webpack)
Awen_liang1002
05-10 1万+
使用vue-cli3.x首先创建一个项目:https://cli.vuejs.org/zh/guide/creating-a-project.html#vue-create 配置生成后的文件目录大概是一下样式:【想直接看配置的直接往下拉!!!】 代码地址:https://download.csdn.net/download/weixin_37615202/11171479 已经没有了we...
阻止Vue生成生产提示
Anoxia_li的博客
08-01 7526
当我们使用Vue时,打开开发者模式,我们会看到这样一句警告:You are running Vue in development mode.Make sure to turn on production mode when deploying for production.See more tips at https://vuejs.org/guide/deployment.html他的中文意思是:您正在开发模式下运行Vue,在进行生产部署时,请确保打开生产模式。
你知不知之运行vue项目运行不起来
阿小绿的博客
07-21 3265
VUE启动问题(You may use special comments to disable some warnings) 今日创建了一个vue项目,结果运行不了疯狂报错。还好我机智,百度了一番。感谢各位同行发表的自身解决的办法,不然就死在了第一步。 我的报错,如果你们和我一样,那么你非常幸运遇到了我。 好,废话不多说,整起! 首先找到你的bulid文件夹再然后找到webpack.base.conf.js(注释你的大概43行代码,如图) 注释完毕以后你只需要重新运行代码(npm run dev)。就o
Vue开发实例(10)之Link 文字链接
编程界明世隐的博客
05-01 7835
Link 文字链接 Vue是现在前端最流行的框架之一,作为前端开发人员应该要熟练的掌握它,如果你是打算学习Vue的开发流程,那么来吧,明哥带你快速上手、带你飞! 即使你并非前端开发人员,对前端的开发流程进行一定的了解也是很有必要的,谁也不确定公司以后会不会让我做前端去,做些简单
【Sonar】使用SonarQube检测Vue项目代码
m0_47420894的博客
09-04 1万+
使用SonarQube检测工具检测Vue项目,附白嫖生成pdf报告功能的配置方法
Sonar安全
weixin_39576234的博客
02-12 7717
  1.Using Struts 1 ActionForm is security-sensitive 使用Struts1的ActionForm是安全敏感的。 All ActionForm's properties should be validated, including their size. Whenever possible, filter the parameters with ...
vue项目报错——This dependency was not found: * -!../../node_modules/@vue/cli-service/node_modules/css...
子时不睡的博客
10-09 4949
vue项目运行的时候报错 This dependency was not found: -!../…/node_modules/@vue/cli-service/node_modules/css-loader/dist/cjs.js??ref–6-oneOf-1-1!../…/node_modules/vue-loader-v16/dist/stylePostLoader.js!../…/node_modules/postcss-loader/src/index.js??ref–6-oneOf-1-2!
解读vue-element-admin登录逻辑permission.js
热门推荐
weixin_43564110的博客
03-26 1万+
解读vue-element-admin登录逻辑permission.js - vue-element-admin中,permission主要负责全局路由守卫和登录判断,希望通过以下注释说明,帮助大家理解这个文件的逻辑 import router from './router' import store from './store' import { Message } from 'element-...
vue配置vue.config.js中less错误(引用ant-design-vue/dist/antd.less主题样式报错解决方法)
weixin_38924500的博客
05-04 5108
引用ant-design-vue/dist/antd.less主题样式报错 ./node_modules/ant-design-vue/dist/antd.less (./node_modules/css-loader/dist/cjs.js??ref–10-oneOf-3-1!./node_modules/postcss-loader/src??ref–10-oneOf-3-2!./node_modules/less-loader/dist/cjs.js??ref–10-oneOf-3-3!./nod.
开发模式下运行Vue界面不显示,提示部署生产时请确保打开生产模式。
海阔天空
03-16 8624
开发模式下运行Vue界面不显示,提示部署生产时请确保打开生产模式。 You are running a development build of Vue. Make sure to use the production build (*.prod.js) when deploying for production.
vue项目安全依赖包时各种报错解决方案
resilient的博客
04-26 787
npm install遇到问题
sonar常见问题修改
期待王教授
01-15 9481
如今,大家都用sonar工具扫描自己的项目代码,以提高自己的代码质量。关于sonar工具的使用以及本地sonar环境搭建已经有同事在内网上分享了,本文不再介绍。本文主要介绍自己在工作中用soanr工具检查Java代码时常见的问题及对应修改建议。 常见问题1: 使用字符索引 : String.indexOf(char) is faster than String.indexOf(String).
v-html 安全问题处理
web_ding的博客
05-19 1147
原因: 你的站点上动态渲染的任意HTML可能会非常危险,因为它很容易导致XSS攻击。请只对可信内容使用HTML插值,绝不要对用户提供的内容插值。 解决办法: 使用<pre>标签替换掉<div>标签。 利用的就是<pre>标签的这个功能:被包围在<pre>元素中的文本通常会保留空格和换行符,并且文本也会呈现为等宽字体。 注意: pre标签使用的时候会出现不自动换行的问题,而且存在一些默认样式。 一下是解决自动换行的办法:...
Vue中v-html使用的安全性问题
qq_62858590的博客
03-31 3826
Vue中v-html使用的安全性问题
vue项目采用sonarqube扫描代码
求知路上
12-15 9327
记录vue项目接入代码扫描sonarqube的安装使用过程
Vue--Table的Column格式化方案
m0_69435612的博客
10-04 273
原日期格式:2024-09-07T08:32:41.000+00:00。格式化成YYYY-MM-DD。让数字显示小数点后几位。
Vue根实例、实例总结
m0_54007573的博客
10-04 659
Vue根实例、实例总结
vue-live2d看板娘集成方案设计使用教程
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
10-05 1455
vue-live2d看板娘集成方案设计使用教程
Vue项目中,sonar 扫描前端Math.random()报Make sure that using this pseudorandom number generator is safe here.附详细代码替换方法解决方法
05-30
首先,SonarQube是一个代码质量管理工具,它可以扫描代码并提供有关代码质量的反馈。在Vue项目中,使用Math.random()可以导致SonarQube扫描时出现警告。 这是因为Math.random()生成的伪随机数可能不是真正的随机数,而是基于特定算法的伪随机数。这可能会导致安全问题,例如在加密或密码重置过程中使用伪随机数可能会导致易受攻击。 为了解决这个问题,可以使用crypto.getRandomValues()方法生成真正的随机数。下面是一个示例代码: ``` // 生成真正的随机数 function getRandomNumber() { const array = new Uint32Array(1); window.crypto.getRandomValues(array); return array[0]; } // 使用真正的随机数 const randomNumber = getRandomNumber(); ``` 在上面的代码中,我们首先使用crypto.getRandomValues()方法生成一个包含一个32位无符号整数的数组。然后,我们返回数组中的第一个整数作为真正的随机数。 使用这种方法可以避免SonarQube扫描时出现警告。同时,也可以提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明算科

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值