nuxt中v-html指令警告(warning ‘v-html‘ directive can lead to XSS attack vue/no-v-html)

最新推荐文章于 2024-04-08 18:32:58 发布
最新推荐文章于 2024-04-08 18:32:58 发布
阅读量3.8k 收藏 3
点赞数 5
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dan_seek/article/details/119393080
版权

XSS是跨站脚本攻击(Cross-Site Scripting)的简称。通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。

vue官网如下描述v-html

在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 v-html永不用在用户提交的内容上。

比如下面代码会在浏览器弹出2021
<template>
	<section>
    	<div v-html='htmlString'></div>
    </section>
</template>

<script>
export default {
  components: {
  },
  data() {
    return {
      htmlString: '<img src="http://www.jpg" οnerrοr="alert(2021)"/>'
    }
  }
}
</script>

<style scoped>

</style>

解决方案如下:

1、安装

npm install vue-dompurify-html --save

2、在vueInject.js添加

import VueDOMPurifyHTML from 'vue-dompurify-html'
Vue.use(VueDOMPurifyHTML)

3、使用v-dompurify-html替代v-html

<div v-dompurify-html='htmlString'></div>
风中蒲公英
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Vue v-html 指令警告warning ‘v-htmldirective can lead to XSS attack vueno-v-html
青颜的天空的博客
07-16 8356
Vue v-html 指令警告warning 'v-html' directive can lead to XSS attack vueno-v-html,可以修复或者忽略此警告
[绍棠] Vue解决V-HTML指令潜在的XSS攻击(‘v-htmldirective can lead to XSS attack.)
绍棠的博客
01-14 1602
什么是 XSS 攻击? XSS是跨站脚本攻击(Cross-Site Scripting)的简称。 XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站。 当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。 发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型
v-html脚本注入问题
最新发布
ijdjj的博客
04-08 353
v-html脚本注入问题
eslint校验忽略 ‘v-htmldirective can lead to XSS attackwarning警告
weixin_42190844的博客
05-16 3279
eslint校验忽略 v-html Xss attack警告
vue项目:解决v-html可能带来的XSS是跨站脚本攻击
snowball的博客
12-27 4075
一、项目简介 vue开发,nuxt项目 二、问题简述 当使用v-html时,出现提示如图: 三、解决问题 3.1、方案 使用vue-dompurify-html代替v-html 3.2、安装 yarn add vue-dompurify-html 3.3、plugins下创建vueInject.js (名字自己取) import VueDOMPurifyHTML from 'vue-dompurify-html' import Vue from 'vue' Vue.use(V.
vue使用v-html防止xss注入
weixin_43837268的博客
10-14 2988
1.下载依赖 npm install xss --save 1.main.js引入xss包并挂载到vue原型上 import xss from 'xss'; Vue.prototype.xss = xss 2.在vue.config.js覆写html指令 chainWebpack: config => { config.module .rule("vue") .use("vue-loader") .loader("vue-
nuxt-property-decorator:Nuxt的属性装饰器(基于vue-property-decorator)
05-28
方便的ES / TypeScript装饰器,用于Nuxt的类样式Vue组件(基于)以及(基于 )和Vuex(基于) 该库完全依赖于 。 执照 麻省理工学院执照 安装 安装非常容易 npm i -S nuxt-property-decorator 或者 yarn add ...
nuxt-vue-multiselect:使用vue-multiselect的Nuxt.js的单选选择插件
05-12
将带有yarn或npm的nuxt-vue-multiselect依赖项添加到您的项目 添加nuxt-vue-multiselect到modules的部分nuxt.config.js 配置它: { modules : [ 'nuxt-vue-multiselect' ] } 发展 克隆此存储库 使用yarn ...
Nuxt v-bind绑定img src不显示的解决
10-15
主要介绍了Nuxt v-bind绑定img src不显示的解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nuxt-ant-design-vue
05-08
@ nuxtjs-extra / ant-design-vue 适用于Ant Design VueNuxt模块设置向项目添加依赖项yarn add @nuxtjs-extra/ant-design-vue @nuxt/components # or npm install @nuxtjs-extra/ant-design-vue 如果您使用...
详解在Vue.js编写更好的v-for循环的6种技巧
10-15
Vue.js,v-for循环是模板进行迭代的关键特性,尤其在处理列表或对象时。以下是六个提高v-for效率和可维护性的技巧: 1. **始终在v-for循环使用`:key`**:在使用v-for时,指定`:key`属性至关重要。这有助于...
Vuev-html引起xss攻击(防止script注入)
meimeib的博客
07-16 2961
v-html引起xss攻击场景 <div v-html="html"></html> data(){ return { html:'alert('1')' } } 解决办法 1. 下载 xss 依赖 npm install xss --save 2. main.js引入xss包并挂载到vue原型上 import xss from "xss"; Vue.prototype.xss = xss; 3. 在vue.config.js覆写html指令 chainWebpac
vue xss 存在_Vue的v-html指令,为什么xss没有生效
weixin_39611070的博客
12-21 369
前后端都没有做转码,后台返回xxx的字符串,前端直接用v-html渲染,然而既没有如v-text一样渲染出文本,又没有执行脚本里面的方法,简单demo如下代码如下:exportdefault{data(){return{msg:'message'}},mounted(){this.msg="插入了一个脚...
关于使用nuxt脚手架v-html无法显示引用网络图片的问题解决方法
qq_43747614的博客
01-17 1203
关于使用nuxt脚手架v-html无法显示引用网络图片的问题解决方法 在使用vue框架写前端的时候,需要从后端拿取文本使用v-html显示时,发现来源于网络的图片无法显示,在调试的时候发现出现了403,后来发现403是其他网站做了防止盗链的处理,保证自己的服务器不被刷流量。 解决办法: 在nuxt的配置文件加上meta加上图片的代码即可 ...
vue项目 v-html存在植入xss攻击怎么解决
zhaoletf的博客
03-23 1万+
然后在需要使用v-html的页面,将v-html改为 v-dompurify-html即可解决xss攻击问题.但是这样写的话也是比较麻烦的,如果这个项目已经做的很大了,在一个个的去改,这样费事费力,还不易于后期开发的维护.当人员离职入职的时候容易造成交接不到位的问题. ...
vue使用过程遇到的错误提示一
热门推荐
z1035075390的博客
07-05 3万+
vue错误提示:template syntax error Component template should contain exactly one root element. If you are using v-if on multiple elements, use v-else-if to chain them instead.
nuxt3:vue-dompurify-html
snowball的博客
02-06 2910
所以,在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 v-html,永不用在用户提交的内容上。仅用于展示的内容个人觉得可以使用。为了避免出现特殊情况,本文介绍一个插件“vue-dompurify-html”。v-html可能引起跨站脚本攻击(Cross-Site Scripting 简称 XSS)。3.1、安装vue-dompurify-html。一、引出vue-dompurify-html。四、欢迎交流指正,关注我,一起学习。三、nuxt3项目使用。
vue之v-text、v-html及v-on标签基本使用
兮动人
02-08 1635
文章目录本地应用v-text:设置标签的文本值v-html:设置标签的innerHTMLv-on基础:为元素绑定事件 本地应用 v-text:设置标签的文本值 <body> <div id="app"> <h2>{{ message }} xdr630</h2> <h2 v-text="message">xdr630</h2> <h2 v-text="info">x
服务端返回的字段是html标签,使用v-html进行渲染并修改样式
Delicia_Lani的博客
04-07 1406
服务端同学返回了这样的数据: scene: "<p>通用</p>↵" 需要将scene字段解析出来,将“通用”二字正确地渲染出来。
vue/no-v-html
08-18
Vue,存在一个规则或警告vue/no-v-html,它是为了防止在可信内容上使用v-html指令,从而避免[XSS攻击的风险。该规则建议不要在用户提交的内容上使用v-html,而是在可信内容上使用。这是因为直接使用v-html会导致动态渲染任意HTML,可能会执行恶意代码。为了解决这个问题,在Vue可以使用vue-dompurify-html插件。首先,你需要通过npm安装该插件:npm install vue-dompurify-html --save。然后,在你的代码引入VueDOMPurifyHTML并将其注册到Vue:import VueDOMPurifyHTML from 'vue-dompurify-html' Vue.use(VueDOMPurifyHTML)。最后,你可以使用v-dompurify-html指令来替代v-html指令,并将需要渲染的HTML字符串绑定到相应的元素上,例如:<div v-dompurify-html='htmlString'></div>。这样就可以安全地渲染HTML内容,避免XSS攻击的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [nuxtv-html指令警告warning ‘v-htmldirective can lead to XSS attack vue/no-v-html)](https://blog.csdn.net/dan_seek/article/details/119393080)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [go语言恶意代码检测系统-对接前端可视化与算法检测部分](https://download.csdn.net/download/liufang_imei/88222624)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值