Vue3+Ts 解决富文本编辑器潜在的XSS攻击

最新推荐文章于 2024-07-04 10:10:18 发布
最新推荐文章于 2024-07-04 10:10:18 发布
阅读量2.1k 收藏 11
点赞数 11
文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phoenixguangyu/article/details/135386722
版权

XSS攻击是一种利用Web应用程序中存在的漏洞,向用户的浏览器注入恶意脚本的攻击方式。

当我们使用v-html去解析 富文本 时,遇到script标签会自动解析并运行。若不将数据进行清洗直接输出到页面上,就容易产生XSS漏洞。

例如:我们在富文本中插入一段字符串 "hello vue<img src="../qwe" οnerrοr="alert(1)">"

此时 img标签解析不了src中的路径 就会报错并弹窗。同理 ,若插入其他脚本,则可以悄无声息地获取页面中的各种信息。

一、解决方案1:使用 vue-dompurify-html 插件

(1)安装插件

yarn add vue-dompurify-html

(2) main.ts 中使用

import VueDOMPurifyHTML from 'vue-dompurify-html'
import { createApp } from 'vue'

const app = createApp(App)
app.use(VueDOMPurifyHTML)

(3) 在dom中使用

<div  v-dompurify-html="richTextValue" />

支持自定义配置:具体实现见官方文档vue-dompurify-html - npm (npmjs.com)

二、解决方案2:使用html自带的清洗器:sanitize-html 

//默认配置
const customConfig = {
	allowedTags: ['b', 'i', 'u', 'p', 'span', 'img'],
	allowedAttributes: {
		img: ['src']
	},
	allowedSchemes: ['http', 'https'],
	allowedClasses: {
		b: ['bold', 'highlight'],
		i: ['italic']
	},
	transformTags: {
		b: 'strong',
		i: 'em'
	},
	nonTextTags: ['style', 'script', 'textarea', 'noscript']
}

//使用sanitizeHtml函数返回干净的dom
const cleanHtml = sanitizeHtml(richTextValue.value, customConfig);

喝可乐的大喵
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
富文本场景下的 XSS
neal1991的专栏
09-05 2425
富文本编辑器是一个常见的业务场景,一般来说,通过富文本编辑器编辑的内容最终也会 html 的形式来进行渲染,比如 VUE,一般就会使用v-html来承载富文本编辑的内容。因为文本内容需...
从零开始创建一个vue3+vite项目并集成element-plus、eslint以及prettier
ruan479118658的博客
04-03 2027
ESLint 是一个用于识别和报告在 ECMAScript/JavaScript 代码中发现的模式的工具,其目标是使代码更加一致并避免错误。ESLint 是完全插件化的。每条规则都是一个插件,你可以在运行时添加更多。你还可以添加社区插件、配置和解析器来扩展 ESLint 的功能。
Vue项目如何进行XSS防护
执着
05-24 713
在目前主推网络安全的情况下,很多开发项目都需要在上线前进行渗透测试,当符合渗透测试标准及没有安全漏洞即可正常上线,当前还会有代码审计的,这个另当别论。如果你的项目是vue2+webpack+js的话,推荐使用vue-xss库,方便快捷安装命令在main.js中引入并且使用在组件中的使用如果你的是阴间项目,使用的是vue2+ts+webpack的项目,那你可以参考上面的vue3+ts+vite项目的使用方法,注意vue2和vue3全局挂在自定义方法是不一样的,这里需要自行修改。
vue项目 v-html存在植入xss攻击怎么解决
热门推荐
zhaoletf的博客
03-23 1万+
然后在需要使用v-html的页面,将v-html改为 v-dompurify-html即可解决xss攻击问题.但是这样写的话也是比较麻烦的,如果这个项目已经做的很大了,在一个个的去改,这样费事费力,还不易于后期开发的维护.当人员离职入职的时候容易造成交接不到位的问题. ...
Vue 如何防止 XSS 攻击?
最新发布
前端开发博客
07-04 1055
作为前端开发者,我们不仅致力于创造视觉吸引且交互性强的应用界面,还必须将应用安全放在首位。跨站脚本攻击(XSS)是网络安全的重大威胁之一,它允许攻击者将恶意脚本注入到我们的应用中,这可能导致用户数据被盗、用户被重定向到诈骗网站,甚至我们的用户界面遭到破坏。理解XSS攻击设想一个社交媒体平台,用户可以发布动态和评论。一个看似无害的评论,包含有趣的文本或表情符号,可能隐藏着恶意脚本。这就是XSS攻击的...
富文本编辑器防止XSS攻击
lijingyu001的博客
04-02 758
vue.condig.js中配置。
vue使用dompurify进行delta格式的富文本解决潜在XSS攻击
weixin_54931655的博客
07-07 1542
它可以轻松地将可能存在风险的HTML标签和属性过滤掉,从而确保展示在用户浏览器上的内容是安全的。总之,Delta富文本内容存储媒介是一种非常方便的富文本编辑器数据格式,但其中存在潜在XSS攻击风险。在前端Vue中使用dompurify库进行HTML转换和过滤可以有效地解决这个问题,确保展示在用户浏览器上的内容是安全的。在这个示例代码中,使用DOMPurify库的sanitize方法对从Delta格式转换而来的HTML字符串进行过滤,确保其中不存在恶意脚本。首先,需要安装dompurify库。
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
vue3+ts引入富文本编辑器wangEditor
alisa_sister的博客
01-05 800
excludeKeys: ["insertImage", "group-video"] //去掉网络上传图片和上传视频。.msg || "上传文件失败",//+res?editorRef.value = editor // 记录 editor 实例。placeholder: '请输入内容...',// 初始化富文本框数据会回显失败,这一句很重要。// 编辑器实例,必须用 shallowRef。//图片上传成功之后回显。// 组件销毁时,也及时销毁编辑器。//富文本框值改变,触发回调。// 内容 HTML
vue-prism-component:使用prism.js和vue组件突出显示代码
05-08
yarn add vue-prism-component CDN: | 用法 首先,您需要在应用程序中的某个位置加载Prism : // yarn add prismjs import 'prismjs' import 'prismjs/themes/prism.css' 或者: < link rel =" stylesheet ...
vue3-wangeditor:基于Wangeditor富文本编辑器,用于Vue3.x的组件
04-02
vue3-wangeditor :open_book:项目介绍 vue3-wangeditor是一种基于wangEditor二次封装的Vue3.x的Web富文本编辑器,轻量,简洁,易用,开源免费。 兼容常见的PC浏览器:Chrome,Firefox,Safar,Edge,QQ浏览器,IE11。 不支持移动端。 wangEditor当前是v4版本。 内置了代码高亮插件highlight.js ,使用的主题是Lioshi :light_bulb:注意 基于wangeditor默认配置,修改了我自己的替代配置 focus: false // 是否自动聚焦到编辑器,默认是 true ,我改成 false emotions: [ ] // 添加了大部分常见的 emoji 表情 languageTab: ' ' // 编辑器中按下 tab 键默认添加 4 个空格,我的习惯是 2 格 menuTooltipPosition: 'do
tinymce静态资源文件
09-12
Tinymce是一款广泛应用于Web开发领域的开源富文本编辑器,它以其强大的功能和良好的用户体验而备受开发者喜爱。在“tinymce4.7.5”这个压缩包中,包含了Tinymce的特定版本——4.7.5的所有静态资源文件,这些文件使得...
Element-ui-vue3-前端界面开发-配置-编辑main.js-nodejs基础语法-vue3-html模板语法-vue文件编译
插件开发
05-08 1197
Vue 3 中,计算属性(Computed Properties)是一种强大的功能,它允许你声明一个依赖于其他响应式数据属性的属性,并且这个属性的值会根据其依赖的数据的变化而自动更新。在Vue3中,setup函数中的this指向的是undefined,因为setup函数是在组件实例化之前执行的,此时还没有this对象。组件中的data是一个函数,他返回一个data对象,里面包含着用户定义的组件的属性变量,当根组件挂载到某个DOM元素上创建好组件实例后,Vue将data以$data的形式存在于组件中。
_vue-3
beifeng11996的博客
02-26 511
1. 哪些变化从上图中,我们可以概览的新特性,如下:1.1 速度更快相比1.2 体积更小通过的功能,可以将无用模块“剪辑”,仅打包需要的能够,有两大好处:可以开发出更多其他的功能,而不必担忧打包出来的整体体积过多1.3 更易维护compositon Api更好的Typescript支持是基于编写的,可以享受到自动的类型定义提示1.4 编译器重写1.5 更接近原生可以自定义渲染 API1.6 更易使用响应式 暴露出来轻松识别组件重新渲染原因2. Vue3新增特性Vue 3 中需要关注的一些新功能包括:2.1
修复富文本编辑器引起的XSS安全问题
weixin_45394033的博客
10-24 3151
在平时使用的富文本编辑器中也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交的数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
富文本编辑器过滤XSS注入(JSOUP)
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
XSS攻击
weixin_45730243的博客
12-17 1341
1、什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),攻击者往web页面里插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会执行,从而达到恶意攻击用户的目的。 模拟过程: 添加功能中,请求参数值包含script标签js代码 添加成功后,数据表中: 12 | test访问新增的这条数据,js代码会被浏览器解析并执行。 Xss攻击严重影响了正常用户对网站的访问。 2、转化的思想防范xss攻击 转化的思想:将输入的内容中的<>转化为html
vue3+vite+ts 使用富文本编辑器wangeditor步骤
qq_40596257的博客
06-02 1428
vue3+vite+ts 使用富文本编辑器wangeditor步骤
vue3+ts富文本编辑器封装
10-31
vue3+ts富文本编辑器封装可以使用第三方组件库或自己封装组件实现。其中,引用中的组件wangEditor是一个常用的富文本编辑器组件,可以在vue3+ts项目中使用。在引用的代码示例中,我们可以看到使用wangEditor组件的方式,其中v-model:value绑定了编辑器的内容,hideToolBar和disabled属性控制了编辑器的工具栏和是否可编辑状态,@check-validate事件可以监听编辑器内容的变化并进行验证。如果需要自己封装组件,可以参考vue3+ts的组件封装方式,结合富文本编辑器的相关API进行封装。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值