处理v-html的潜在XSS风险

最新推荐文章于 2024-08-22 08:30:13 发布
置顶 最新推荐文章于 2024-08-22 08:30:13 发布
阅读量1.6k 收藏 8
点赞数
文章标签: v-html xss vue
原文链接:https://blog.csdn.net/lingxiaoxi_ling/article/details/105851736 https://blog.csdn.net/qiumen/article/details/88119275
版权
本文介绍了一个未采取防护措施导致XSS攻击的例子,并提供了两种解决方案:一是利用xss npm包过滤恶意代码;二是通过修改vue.config.js文件覆盖html指令,确保所有html内容都经过xss过滤。
摘要由CSDN通过智能技术生成

没有进行防止xss攻击的例子

<p v-html="test"></p>
 
export default {
  data () {
    return {
      test: `<a οnclick='alert("xss攻击")'>链接</a>`
    }
}

结果,js事件被执行,弹出弹框,我们要杜绝这种情况,保留a标签,拦截onclick事件

解决办法

法一:

使用一个xss的npm包来过滤xss攻击代码,给指令的value包上一层xss函数

npm install xss --save

import xss from 'xss'

<p v-html="$xss(test)"></p>
 
import xss from 'xss'
export default {
  data () {
    return {
      test: `<a οnclick='alert("xss攻击")'>链接</a>`
    }
}
 
Object.defineProperty(Vue.prototype, '$xss', {
  value: xss
})

法二:
在业务代码里使用xss函数处理,不能保证团队每一个成员都会使用xss函数处理,作为前端的架构师,我们需要从项目整体的考虑来处理这类问题,不能指望通过规范来约束团队成员
1.引入xss包并挂载到vue原型上

import xss from 'xss';
Vue.prototype.xss = xss

2.在vue.config.js中覆写html指令

chainWebpack: config => {
    config.module
        .rule("vue")
        .use("vue-loader")
        .loader("vue-loader")
        .tap(options => {
            options.compilerOptions.directives = {
                html(node, directiveMeta) {
                    (node.props || (node.props = [])).push({
                        name: "innerHTML",
                        value: `xss(_s(${directiveMeta.value}))`
                    });
                }
            };
            return options;
        });
}

在编译前会将我们从vue-loader传入的compilerOptions.directives和baseOptions.directives进行合并。 这样我们就能覆盖html指令。

lj1530562965
关注
处理v-html存在的xss攻击
lin5508的博客
04-09 372
处理v-html存在的xss攻击 处理v-html存在的xss攻击 <div v-html='$xss(test)'></div>
解决v-html指令潜在xss攻击
热门推荐
lingxiaoxi_ling的博客
04-29 1万+
我们首先来看一个例子 运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。 html指令的运行原理 v-html指令源码 // /vue/src/platforms/web/compiler/directives/html.js export default function html (el: ASTElement, di...
VUE框架用户提交页面信息实现XSS袭击attack原因------VUE框架
weixin_40436005的博客
08-18 26
登录后复制 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initia...
v-html防止XSS攻击
wnk1997的博客
10-25 275
安装dompurify。
解决v-html可能存在XSS漏洞风险
CYL_2021的博客
12-28 1441
解决v-html可能存在XSS漏洞风险
vue.js使用v-pre与v-html输出HTML操作示例
10-18
因为直接插入HTML可能存在XSS(跨站脚本攻击)的风险。如果你的数据来自不可信的源,务必先对内容进行安全过滤或使用DOMPurify等库进行清洗,以防止恶意代码注入。 ### 总结 Vue.js 的 `v-pre` 和 `v-html` 提供了...
用v-html解决Vue.js渲染中html标签不被解析的问题
10-20
需要注意的是,使用`v-html`存在XSS(跨站脚本攻击)的安全风险,因为它是直接将HTML注入到页面上。为了防止恶意代码的执行,应当确保数据来源可信,或者在服务器端对HTML内容进行安全过滤和转义。如果必须要展示...
Vue指令之 v-cloak、v-text、v-html实例详解
10-16
Vue.js 是一款流行的前端JavaScript框架,它...`v-html`则允许我们动态插入HTML内容,但需谨慎处理,以防止潜在的安全问题。理解并恰当使用这些指令,能帮助开发者更高效地构建Vue应用程序,同时提供更好的用户体验。
Vue中插值表达式、v-text和v-html对比解析
资源摘要信息:"轻松理解插值表达式、v-text 与 v-html 之间的差别" ...对于简单文本的更新,推荐使用插值表达式或v-text以避免潜在的安全风险。当需要插入可信的HTML内容时,可以使用v-html,但必须格外注意安全问题。
v-html跨站脚本攻击,iis安全---防范XSS跨站式脚本攻击
weixin_31464715的博客
06-22 432
iis安全---防范XSS跨站式脚本攻击原文:网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。网站遭受XSS跨站式脚本攻击的基本原理1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:A给B发送一个恶意构造了Web的URL。B点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。具有漏...
vue中使用v-html如何避免xss攻击??
yang_song97的博客
05-17 1320
有时候后端返回的数据是这样的这时我们想到使用vue指令v-html实现,但是这样会有问题,如何防止跨站点脚本(XSS)攻击?这里我们借助插件vue-dompurify-html来实现,直接上代码。
攻击html页面,v-htmlXSS 攻击
weixin_36073959的博客
06-08 1305
Vue 中有 v-html 这个便利的指令,可以让我们直接输出 HTML,但它有个缺点。Vue 官网这样解释这个「指令」双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令:Using mustaches: {{ rawHtml }}Using v-html directive: 输出代码:Using mustaches: This s...
Vue中v-html引起xss攻击(防止script注入)
meimeib的博客
07-16 3087
v-html引起xss攻击场景 <div v-html="html"></html> data(){ return { html:'alert('1')' } } 解决办法 1. 下载 xss 依赖 npm install xss --save 2. main.js中引入xss包并挂载到vue原型上 import xss from "xss"; Vue.prototype.xss = xss; 3. 在vue.config.js中覆写html指令 chainWebpac
XSS攻击与v-html
07-25 1768
XSS(cross site script)攻击,利用用户web输入漏洞,实现跨站脚本攻击。恶意攻击者在Web页面里插入恶意html代码,当用户浏览该页时,嵌入其中的恶意html代码被执行,从而实现攻击者的恶意目的。V-html通过过滤输入和转义输出可以有效避免该类攻击。 一、攻击方式 示例代码: <div id="app"> <div v-html="myhtml"></div> ...
html攻击代码,解决v-html指令潜在xss攻击
weixin_29155599的博客
06-09 1370
我们首先来看一个例子运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。html指令的运行原理v-html指令源码///vue/src/platforms/web/compiler/directives/html.jsexportdefaultfunctionhtml(el:ASTElement,dir:AST...
xss 攻击
最新发布
虎康的博客
08-22 1159
XSS 攻击利用了 web 应用程序对动态内容和用户输入处理的不安全方式。理解这些攻击的工作原理有助于你在开发过程中采取适当的防护措施,确保应用程序的安全性。
关于v-html容易造成的xss攻击问题解决
u014226080的博客
09-03 1878
今天再用到wangeditor这个工具的时候,存储评论和文章数据,我是直接将文本编辑器的内容以html格式直接存储到数据库,这里在前端用v-html渲染的时候就可能会造成攻击者直接将带有恶意代码的评论,直接发送到数据库,这就需要在渲染前做一个过滤。因为我是在nuxt3中使用的,可以在plugins中添加上以下文件VueDompurifyHtml.js(vue中直接在main.js中添加上对应文件的use即可)这里就可以使用以下工具,HTML代码在解释之前用DOMPurify进行清理。
VUE框架的v-html和v-text以及XSS攻击原理剖析------VUE框架
春风若有怜花意,可否许我再少年
11-30 703
VUE框架的v-html和v-text以及XSS攻击原理剖析------VUE框架
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值