避免使用 vue 的 v-html 指令

最新推荐文章于 2024-06-28 11:51:38 发布
最新推荐文章于 2024-06-28 11:51:38 发布
阅读量4.8k 收藏 4
点赞数 3
分类专栏: CSS与HTML VUE实践 文章标签: vue v-html xss 业务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hope_It/article/details/102645709
版权

一、问题说明

在日常的后台系统中经常会有输入框的业务,最近有个业务是这样子的:编辑文章信息,生成可预览的文章信息卡片。我看到代码中有个信息是这样处理的:

<div v-html="title"></div>

并且title是用v-model绑定的,直接用v-html插入Dom中

巧的是测试人员很有专业素养,直接输入一段script,alert脚本,问题就出来了,直接弹出

二、问题思考

问题就出现在这个v-html的绑定,根据vue官网文档的说明:

你的站点上动态渲染的任意 HTML 可能会非常危险,因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值,绝不要对用户提供的内容使用插值。

既然知道问题的原因了,就该思考怎样去避免 XSS 攻击。

三、如何解决

按照官网的说明:
原始Html

双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令。

应该直接实用双大括号就可以解决问题了。

<div>{{ title }}</div>

试一试,输入<script>alert('get')</script>
结果:直接显示<script>alert('get')</script>

但是这样虽然解决了问题,但是直接显示脚本代码,丑啊。再想想解决方法。

优雅的解决方案:
<pre>

根据w3c的说明

pre 元素可定义预格式化的文本。被包围在 pre 元素中的文本通常会保留空格和换行符。而文本也会呈现为等宽字体。

<pre> 标签的一个常见应用就是用来表示计算机的源代码。

四、延伸

通过了解还存在这样一个情况

Vue的v-html指令,为什么xss没有生效?

<template>
    <div v-html="msg">
        
    </div>
</template>

<script>    
    export default {
        data() {
            return {
                msg: 'msg'
            }
        },
        mounted() {
            this.msg = "插入了一个脚本:<script>console.log(1)<\/script>"; //解释了标签,但是没有打印
            var script = document.createElement('script');
            script.innerHTML = 'console.log(2)';
            this.$el.parentElement.appendChild(script); //打印了 2
        }
    }
</script>

不生效的原因是在MDN文档上找到的:

尽管这看上去像 cross-site scripting 攻击,结果并不会导致什么。HTML 5 中指定不执行由 innerHTML 插入的

附上链接:

https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML#%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98

i大俊
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue指令:v-html
qq_48294048的博客
10-16 152
注意:代码所需vue可以通过npm i vue --save下载,然后引入即可 案例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-wi.
v-html指令
qq_46582421的博客
11-17 1040
1.作用:向指定奶点渲染包含htm1结构的内容。 2.与插值语法的区别; (1).v-html会替换掉节点所有的内容,{{xx}}则不会。 (2).v-html可以识别html结构。 3.严重注意: v-html有安全性问题! ! ! ! (1).在网站上动态渲染任意HTML是非常危险的,容易导致XSS攻击。 (2).定要在可信的内容上使用v-html,永不要用在用户提交的内容 上! <!DOCTYPE html> <html lang="en"> <head>
vue.js使用v-pre与v-html输出HTML操作示例
10-18
主要介绍了vue.js使用v-pre与v-html输出HTML操作,结合实例形式分析了vue.js基于v-pre与v-html属性输出HTML的具体操作技巧,需要的朋友可以参考下
解析Vue.js的v-html指令:动态渲染HTML内容的利器
My_wife_QBL的博客
12-15 3736
v-html指令Vue.js开发者提供了一种便捷的方式来处理动态生成的HTML内容。然而,在使用v-html时,务必注意安全性问题,以防止潜在的XSS攻击。通过合理使用v-html指令,开发者能够更灵活地应对各种富文本和富媒体的场景,提升用户体验和开发效率。
11-vue-dompurify-html使用使用过程的问题解决
最新发布
weixin_46675693的博客
06-28 632
使用了这个插件后,在测试时确实没有弹出来了,在我以为是成功的情况下,本想着做一下整理,但是更深入查找资料发现,虽然这个插件可以过滤掉xss攻击,但是不会影响其它元素渲染,但是使用后其它元素却没有渲染成功,就很奇怪。后来,我在node_modules找这个插件的相关信息,结果被我发现在README.md发现了一句话,意思是当前的版本是适合vue3用,vue2的话需要用4.1.x的版本。下载的版本是v4.1.4,刷新,结果没反应,重新启动,成功啦,没有弹窗,且其它元素也能成功渲染出来,果然是版本的问题。
Vue相关指令
weixin_43709908的博客
10-09 138
Vue是什么? Vue(读音/vju:/)是一套用于构建用户界面的渐进式框架。 Vue的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合。 指令 1.本质就是自定义属性 2.Vue指定都是以v-开头。 V-cloak 防止页面加载时出现闪动问题 [v-cloak]{ display:none;//先让元素进行隐藏 } <div id='app'&...
规避使用 vue 的 v-html 指令的方法
热门推荐
JimmyLuo17的博客
08-01 2万+
一、引言前一阵子在写业务的时候,发现公司的代码里,有个场景是这样的:需要用户定义一些活动规则,然后在左边的手机预览图,实时显示出这些活动规则。于是,同事用了一个带 v-html 指令的 <textarea> 标签,并且将双向数据绑定之后的变量 str 直接用 v-html="str" 将 str 绑定在 DOM 上,然后用户输入的规则显示在左边的预览图。二、思考但我们在学 vue 的教程的时候,
Vue内置指令:v-html、v-cloak
小福气的博客
08-28 468
v-html的作用? 向指定节点渲染包含html结构的内容。 v-html与插值语法的区别? (1) v-html会替换掉节点所有的内容,{{xx}}则不会。 (2) v-html可以识别html结构。 v-html使用容易导致安全问题,慎用 (1)在网站上动态渲染任意HTML是非常危险的,容易导致XSS攻击。 (2)一定要在可信的内容上使用v-html,永远不要用在用户提交的内容上! v-cloak的作用? v-cloak本质是一个特殊属性,Vue实例创...
vue核心面试题:vuev-html会导致哪些问题
王三六博客
08-20 6146
一、理解: 1.可能会导致 xss 攻击。比如用v-html一定要保证你的内容是可以依赖的,例: <input type="text" v-model="msg"/> <div v-html="msg"></div> // 因为用户输入的信息不可信,这样输入什么就会放入什么,v-html就相当于一个innerHTML 2.v-html 会替换掉标签内部的子元素 二、原理 let template = require('vue-template-co.
v-html可能导致的问题
WindrunnerMax
06-28 4137
v-html可能导致的问题 Vue的v-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,如果试图使用v-html组合模板,可以重新考虑是否通过使用组件来替代。 描述 易导致XSS攻击 v-html指令最终调用的是innerHTML方法将指令的value插入到对应的元素里,这就是容易造成xss攻击漏洞的原因了。Vue在官网对于此也给出了温馨提示,在网站上动态渲染任意HTML是非常危险的,因为容易导致XSS攻击,只在可信内容上使用v-html,永不用在用户提
v-html有什么问题
我的博客简介
02-23 915
可能存在安全风险,特别是当插入的 HTML 内容来自用户输入或未经可靠验证的来源时。会导致模板的可读性下降,因为模板的逻辑和结构被部分放在了字符串,难以直观地理解和维护。会动态生成 HTML 内容,浏览器需要对该内容进行解析和渲染,这可能会导致性能问题。相比于直接使用 Vue 的模板语法和组件来渲染内容,使用。提供了方便的功能,但在使用时需要注意安全性和潜在的性能问题。,并避免将不受信任的内容直接渲染到模板,以确保代码的安全和可维护性。提供了将动态 HTML 插入到模板的便利性,但过度使用
vue.js占位html标签,详解三种方式解决vuev-html元素标签样式
weixin_39915204的博客
05-31 1449
Vue为v-html标签添加CSS样式{{news.title}}{{news.datetime}}返回列表当我们使用v-html渲染页面,使用下面这种方式去修改样式并没有效果,.con{p {font-size: 14px;line-height: 28px;text-align: left;color: rgb(238, 238, 238);color: #585858;text-inden...
vue.js调用html模板,Vue.js的模板语法详解
weixin_34959044的博客
06-09 567
Vue.js 模板语法Vue.js 使用了基于 HTML 的模版语法,允许开发者声明式地将 DOM 绑定至底层 Vue 实例的数据。Vue.js 的核心是一个允许你采用简洁的模板语法来声明式的将数据渲染进 DOM 的系统。结合响应系统,在应用状态改变时, Vue 能够智能地计算出重新渲染组件的最小代价并应用到 DOM 操作上。使用“Mustache”语法 (即用双大括号包裹) 的文本插值:Mess...
vue通过v-html指令渲染的富文本无法修改样式的解决方案
10-15
Vue.js应用,`v-html`指令用于将纯HTML字符串插入到DOM,而不是作为文本内容。然而,当使用`v-html`渲染富文本时,可能会遇到一个问题:无法通过CSS样式表修改这些动态插入的元素样式。这个问题的原因在于Vue...
Vue的v-for指令不起效果的解决方法
10-17
7. 模板编译问题:如果使用了自定义模板引擎或字符串模板,可能需要确保Vue能够正确解析`v-for`指令。 8. 异步数据加载:如果数据是在异步请求后加载的,确保在数据加载完成后再渲染视图。可以使用`Promise.then`或...
VUE元素的隐藏和显示(v-show指令)
08-30
VUE元素的隐藏和显示(v-show指令) 在 Vue 框架,元素的隐藏和显示是一个非常常见的需求,而 v-show 指令正是为了满足这个需求而生的。v-show 指令可以根据条件来控制元素的显示或隐藏,它是一个非常有用的指令...
vue的注意规范之v-if 与 v-for 一起使用教程
10-16
Vue.js,`v-if` 和 `v-for` 是两个非常重要的指令,它们各自有着不同的用途。然而,当这两个指令同时使用时,需要注意一些规范和最佳实践,以避免性能问题和不必要的复杂性。以下是对 `v-if` 和 `v-for` 一起...
vue之v-text、v-html及v-on标签基本使用
兮动人
02-08 1683
文章目录本地应用v-text:设置标签的文本值v-html:设置标签的innerHTMLv-on基础:为元素绑定事件 本地应用 v-text:设置标签的文本值 <body> <div id="app"> <h2>{{ message }} xdr630</h2> <h2 v-text="message">xdr630</h2> <h2 v-text="info">x
vue router 使用html,Vue Router使用方式介绍
weixin_34800530的博客
06-19 243
Vue Router是Vue.js官方的路由管理器。它和Vue.js的核心深度集成,让构建单页面应用变得易如反掌。本文就来为大家介绍一下Vue Router的使用方式。一、Vue使用Vue Router简单方式使用 vue add xxx命令添加插件使用步骤,本人假设已经安装好了Vue CLI工具1.创建项目vue create hello2创建过程比较慢,需要稍等片刻。提示选择模板地方使用默认...
vue通过v-html指令渲染的富文本
09-07
vue通过v-html指令可以渲染富文本内容,即将包含HTML标记的字符串动态地插入到模板使用v-html指令的方式如下: ``` <div v-html="richTextContent"></div> ``` 其,richTextContent是一个包含富文本内容的文本变量。 v-html指令会将richTextContentHTML标记解析并渲染为对应的元素和样式。这样,可以实现在Vue模板插入富文本内容,包括文字,图片,链接等。例如,可以插入一个带有样式的段落或者一个带有图片和文字的列表。 需要注意的是,由于v-html指令会将字符串内容当作HTML解析,存在XSS(跨站脚本攻击)风险。因此,务必保证richTextContent的内容是可信的,避免插入恶意脚本。可以通过合理的数据过滤和安全验证来保证富文本内容的安全性。 总之,通过v-html指令Vue可以方便地渲染富文本内容,使得展示的效果更加丰富多样。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值