安全地使用v-html

已于 2024-03-19 01:15:07 修改
阅读量548 收藏 9
点赞数 7
分类专栏: vue 文章标签: 前端 vue
于 2024-03-17 22:38:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51754096/article/details/136790489
版权

vue2

1、 使用插件DOMPurify

DOMPurify是一个开源的基于DOM的快速XSS净化工具。输入HTML元素,然后通过DOM解析递归元素节点,进行净化,输出安全的HTML

 <div v-html="sanitizedContent"></div>
 
import DOMPurify from 'dompurify'; 
  data () {
    return {
      htmlContent: '<p>Hello, <a href="https://example.com">World</a>!</p>'
    }
  },
  computed: {
    sanitizedContent () {
      return DOMPurify.sanitize(this.htmlContent);
    }
  },

2、手动写过滤函数

<template>
  <div>
    <div v-html="sanitizedContent"></div>
  </div>
</template>

<script>
export default {
  data() {
    return {
      htmlContent: '<p>Hello, <a href="https://example.com" target="_blank">World</a>!</p>'
    };
  },
  computed: {
    sanitizedContent() {
      return this.sanitizeHTML(this.htmlContent);
    }
  },
  methods: {
    sanitizeHTML(html) {
      //允许的标签
      const allowedTags = ['p', 'a'];
      //允许的标签属性
      const allowedAttributes = ['href'];

      const tempDiv = document.createElement('div');
      tempDiv.innerHTML = html;

      tempDiv.querySelectorAll('*').forEach(element => {
        if (!allowedTags.includes(element.tagName.toLowerCase())) {
          element.remove();
        } else {
          Array.from(element.attributes).forEach(attribute => {
            if (!allowedAttributes.includes(attribute.name)) {
              element.removeAttribute(attribute.name);
            }
          });
        }
      });

      return tempDiv.innerHTML;
    }
  }
};
</script>

属性对象的类型: NamedNodeMap ,表示属性节点 Attr 对象的集合

vue3

当然,能不用v-html就不用v-html,因为不安全又麻烦,如果是使用富文本编辑器生成的标签,那么直接使用富文本展示数据即可,只需要按照需求去掉toolbar

如:使用富文本编辑器,具体例子看链接

咸鱼肥美妖娆
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PAG-V-LS
02-13
PAG-V-LS
X-Scan-v3.3-cn
12-30
X-Scan-v3.3 使用说明 一. 系统要求:Windows NT/2000/XP/2003 理论上可运行于Windows NT系列操作系统,推荐运行于Windows 2000以上的Server版Windows系统。 二. 功能简介: 采用多线程方式对指定IP地址段...
HTMLPurifier:安全HTML过滤与清理的利器
gitblog_00060的博客
03-22 432
HTMLPurifier:安全HTML过滤与清理的利器 项目地址:https://gitcode.com/ezyang/htmlpurifier HTMLPurifier 是一个开源PHP库,专门用于清洗和规范化不安全HTML输入,以确保输出的内容在网页上安全可靠。这个项目的诞生源于对防止跨站脚本攻击(XSS)的迫切需求,它为开发者提供了一种高效且灵活的方式来处理用户生成的内容。 技术分析 HT...
前端项目问题】Vue 中 v-html使用
Dai的博客
01-30 2万+
前端项目问题】Vue 中 v-html使用
Vue- v-html指令
heartOfblack 离开了电脑,我不希望我还有病
02-23 1万+
双大括号的数据绑定写法{{ }}会被VUE当成纯文本输出,为了能够输出HTML,需要用到V-HTML指令 {{message}} 在这个指令下数据绑定会被忽略,而被当成HTML 注意,你不能使用 v-html 来复合局部模板,因为 Vue 不是基于字符串的模板引擎。组件更适合担任 UI 重用与复合的基本单元(这句话暂时不知道什么意思) 如果尝试在v-ht
Vue基础-文本显示,v-html插入html代码
weixin_30776863的博客
07-28 7359
1. 显示内容 {{}} <div id="app"> <p>{{ message }}</p></div> <script>new Vue({ el: '#app', //el是选择元素的挂载节点,这里#是加父节点id data: { //赋值 message: 'Hello Vue....
Vue中v-html使用安全性问题
qq_62858590的博客
03-31 3642
Vue中v-html使用安全性问题
uniapp中使用v-html,v-html中JS代码不生效的问题
麋鹿的鹿
08-09 3219
html5中的规定为了安全起见,不会执行innerHTML中插入的。
kali系统-工具-中文手册-html
07-15
NMAP使用原始IP包以新颖的方式来确定哪些主机是在网络上可用,这些主机正在提供什么样的服务(应用程序的名称和版本),什么操作系统(和OS版本),它们都在运行,什么类型的分组过滤器/防火墙在使用中,和许多其他...
v-creator-开源
05-14
v-creator:一个框架,用于为Internet,Intranet和Extranet创建PHP驱动的站点。 将HTML与PHP分开,并鼓励模块化开发。 自动处理数据库集成,安全性和会话管理等基本服务
网站安全狗Linux-apache版 32位 v2.3.14809
10-30
网站安全狗Linux版(Apache)(英文:SafeDog For Linux Apache)是一款集网站内容安全防护、网站资源保护及网站流量保护功能为一体的服务器工具,为用户在Internet的网络服务提供完善的保护,避免Apache服务器出现...
Vue v-html用法
liubangbo的专栏
06-18 1万+
如果我们从服务器端获取到了HTML字符串,用浏览器显示出来。在Vue框架下,可以用v-html指令来做。例如: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>vue demo</title> </head> <body> <script src="./vue.js"></script> <
v-html 解析并插入 html 标签
热门推荐
weixin_41796631的博客
09-21 7万+
1. 双大括号会将数据解释为普通文本,而非 HTML 代码。 &lt;div id="app"&gt; &lt;p id="a"&gt;Using mustaches: {{ rawHtml }}&lt;/p&gt; &lt;p &gt;Using v-html directive: &lt;/p&gt; &lt;/div&gt; &lt;body&a
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 406
vue.config.js中配置关闭Uncaught runtime errors显示。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 570
在JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 296
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
HTML入门教程:深度解析HTML,开启你的前端技术之旅
最新发布
zhangwenok的博客
06-14 1286
HTML(HyperText Markup Language,超文本标记语言)是前端开发的基础,它负责构建网页的结构和内容。作为前端技术栈的基石,HTML的掌握程度直接影响到网页的开发效率和用户体验。本教程将带你从零开始,逐步深入了解HTML的各个方面,帮助你打下坚实的前端技术基础。HTML是一种用于创建网页的标准标记语言,它通过一系列的元素(elements)和标签(tags)来定义网页的结构和内容。HTML文档由一系列的元素组成,这些元素通过标签来标识。
vue动态使用v-html
06-11
Vue中,可以通过v-html指令将动态数据渲染为HTML内容。使用v-html时,需要注意潜在的安全风险,因为渲染的HTML内容可能包含恶意代码。为了避免这种风险,可以对渲染的内容进行过滤和转义。 下面是一个使用v-html的示例: ```html <template> <div v-html="htmlContent"></div> </template> <script> export default { data() { return { htmlContent: '<p>这是一段动态生成的HTML内容</p>' }; } }; </script> ``` 在上面的示例中,`htmlContent`是一个动态的数据,通过v-html指令将其渲染为HTML内容。注意,v-html只能用在已经被Vue编译过的模板中,否则会报错。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值