vue核心面试题:vue中v-html会导致哪些问题

最新推荐文章于 2024-05-06 20:52:53 发布
最新推荐文章于 2024-05-06 20:52:53 发布
阅读量6.1k 收藏 8
点赞数 4
分类专栏: 前端面试总结 文章标签: javascript vue.js 前端
wthreesix
本文链接:https://blog.csdn.net/qq_42072086/article/details/108108023
版权

一、理解:

1.可能会导致 xss 攻击。比如用v-html一定要保证你的内容是可以依赖的,例:

<input type="text" v-model="msg"/>
<div v-html="msg"></div>
// 因为用户输入的信息不可信,这样输入什么就会放入什么,v-html就相当于一个innerHTML

2.v-html 会替换掉标签内部的子元素 

二、原理

    let template = require('vue-template-compiler');
    let r = template.compile(`<div v-html="'<span>hello</span>'"></div>`)
    // 编译后,domProps就是一个innerHTML
    with(this){
        return _c('div',{domProps: {"innerHTML":_s('<span>hello</span>')}})
    }

 // _c 定义在core/instance/render.js

 // _s 定义在core/instance/render-helpers/index,js

三、源码

文件位置:src/platforms/web/runtiem/models/dom-props.js

function updateDOMProps (oldVnode: VNodeWithData, vnode: VNodeWithData) {
  for (key in props) {
    cur = props[key]
    // 如果key是textContent或者innerHTML是会将vnode的子节点都变成空
    if (key === 'textContent' || key === 'innerHTML') {
      if (vnode.children) vnode.children.length = 0
      if (cur === oldProps[key]) continue
      if (elm.childNodes.length === 1) {
        elm.removeChild(elm.childNodes[0])
      }
    }

    if (key === 'value' && elm.tagName !== 'PROGRESS') {
    } else if (key === 'innerHTML' && isSVG(elm.tagName) && isUndef(elm.innerHTML)) {
    } else if (
      cur !== oldProps[key]
    ) {
      try {
        elm[key] = cur // 最终elm的key会被这个值覆盖
      } catch (e) {}
    }
  }
}

 

王三六
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue面试: 前端面试
02-04
Vue.js 是一款流行的前端...理解并熟练掌握以上知识点,将对Vue面试提供极大的帮助,能有效展示你对Vue框架的深入理解和实践能力。在面试,除了理论知识,还应展示实际项目经验,以及如何解决实际问题的能力。
Vue面试:让你在面试游刃有余.md
08-15
Vue面试:让你在面试游刃有余.md
Vue2v-html引发的安全问题
知远同学的博客
12-06 1186
1.作用:向指定节点渲染包含html结构的内容。2.与插值语法的区别:(1).v-html替换掉节点所有的内容,{{xx}}则不。(2).v-html可以识别html结构。3.严重注意:v-html有安全性问题!!!!(1).在网站上动态渲染任意HTML是非常危险的,容易导致XSS攻击。(2).一定要在可信的内容上使用v-html,永不要用在用户提交的内容上!
v-html可能导致问题
WindrunnerMax
06-28 4114
v-html可能导致问题 Vuev-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不作为Vue模板进行编译,如果试图使用v-html组合模板,可以重新考虑是否通过使用组件来替代。 描述 易导致XSS攻击 v-html指令最终调用的是innerHTML方法将指令的value插入到对应的元素里,这就是容易造成xss攻击漏洞的原因了。Vue在官网对于此也给出了温馨提示,在网站上动态渲染任意HTML是非常危险的,因为容易导致XSS攻击,只在可信内容上使用v-html,永不用在用户提
深入了解Vue 3.0v-html指令:用法、安全性与最佳实践
最新发布
李长渊的博客
05-06 2092
深入了解Vue 3.0v-html指令:用法、安全性与最佳实践
v-html有什么问题
我的博客简介
02-23 859
可能存在安全风险,特别是当插入的 HTML 内容来自用户输入或未经可靠验证的来源时。导致模板的可读性下降,因为模板的逻辑和结构被部分放在了字符串,难以直观地理解和维护。动态生成 HTML 内容,浏览器需要对该内容进行解析和渲染,这可能导致性能问题。相比于直接使用 Vue 的模板语法和组件来渲染内容,使用。提供了方便的功能,但在使用时需要注意安全性和潜在的性能问题。,并避免将不受信任的内容直接渲染到模板,以确保代码的安全和可维护性。提供了将动态 HTML 插入到模板的便利性,但过度使用。
Vuev-html 导致哪些问题vue 11)
maggie
02-28 9013
vuev-html指令使用注意事项: V-html更新的是元素的 innerHTML 。内容按普通 HTML 插入, 不作为 Vue 模板进行编译 。但是有的时候我们需要渲染的html片段有插值表达式,或者按照Vue模板语法给dom元素绑定了事件; 使用v-html需要注意的第二个问题是:在单文件组件里,scoped 的样式不应用在 v-html 内部,因为那部分 HTML 没有被...
避免使用 vuev-html 指令
I大俊
10-20 4762
一、问题说明 在日常的后台系统经常有输入框的业务,最近有个业务是这样子的:编辑文章信息,生成可预览的文章信息卡片。我看到代码有个信息是这样处理的: <div v-html="title"></div> 并且title是用v-model绑定的,直接用v-html插入Dom 巧的是测试人员很有专业素养,直接输入一段script,alert脚本,问题就出来了,直接弹出 ...
Vuev-html样式无效问题
Yfw的博客
07-03 1万+
## 例如我在vue添加了如下的v-html: 样式无效代码: <table class="table" v-html="table_data" width="100%">{{table_data}}</table> <script> export default { data(){ return{ ...
vue面试-高质量vue面试-高频vue面试
01-17
本文将围绕“Vue面试-高质量vue面试-高频vue面试”这一主,深入探讨Vue.js的核心概念、关键特性、以及在实际开发的应用。 一、Vue.js核心概念 1. 双向数据绑定:Vue通过`v-model`指令实现了视图与模型之间...
经典面试: 2021Vue经典面试总结(含答案).pdf
12-14
Vue经典面试总结 一、Vue基础 1. Vue的基本原理:当一个Vue实例创建时,Vue遍历data的属性,使用 Object.defineProperty(vue3.0使用proxy)将它们转为getter/setter,并且在内部追踪相关依赖,在属性被访问...
v-html解决Vue.js渲染html标签不被解析的问题
10-20
主要给大家介绍了如何利用v-html解决Vue.js渲染过程html标签不能被解析,html标签显示为字符串的问题,文通过图文介绍的很详细,有需要的朋友们可以参考借鉴,下面来一起看看吧。
最新面试vue-面试.pdf
09-30
最新面试vue-面试.pdf
规避使用 vuev-html 指令的方法
热门推荐
JimmyLuo17的博客
08-01 2万+
一、引言前一阵子在写业务的时候,发现公司的代码里,有个场景是这样的:需要用户定义一些活动规则,然后在左边的手机预览图,实时显示出这些活动规则。于是,同事用了一个带 v-html 指令的 <textarea> 标签,并且将双向数据绑定之后的变量 str 直接用 v-html="str" 将 str 绑定在 DOM 上,然后用户输入的规则显示在左边的预览图。二、思考但我们在学 vue 的教程的时候,
关于v-html容易造成的xss攻击问题解决
u014226080的博客
09-03 1798
今天再用到wangeditor这个工具的时候,存储评论和文章数据,我是直接将文本编辑器的内容以html格式直接存储到数据库,这里在前端用v-html渲染的时候就可能造成攻击者直接将带有恶意代码的评论,直接发送到数据库,这就需要在渲染前做一个过滤。因为我是在nuxt3使用的,可以在plugins添加上以下文件VueDompurifyHtml.js(vue直接在main.js添加上对应文件的use即可)这里就可以使用以下工具,HTML代码在解释之前用DOMPurify进行清理。
VUE框架的v-html和v-text以及XSS攻击原理剖析------VUE框架
春风若有怜花意,可否许我再少年
11-30 623
VUE框架的v-html和v-text以及XSS攻击原理剖析------VUE框架
eslint校验忽略 ‘v-html‘ directive can lead to XSS attack的warning警告
weixin_42190844的博客
05-16 3318
eslint校验忽略 v-html Xss attack警告
vue项目:解决v-html可能带来的XSS是跨站脚本攻击
snowball的博客
12-27 4116
一、项目简介 vue开发,nuxt项目 二、问题简述 当使用v-html时,出现提示如图: 三、解决问题 3.1、方案 使用vue-dompurify-html代替v-html 3.2、安装 yarn add vue-dompurify-html 3.3、plugins下创建vueInject.js (名字自己取) import VueDOMPurifyHTML from 'vue-dompurify-html' import Vue from 'vue' Vue.use(V.
前端Vue常见面试大全
10-27
"这篇文档包含了前端开发者在Vue面试可能遇到的各类问题,涉及Vue与React的比较、axios的使用、Vue生命周期、组件设计、Vue Router、Vuex等多个方面,旨在帮助面试者全面掌握Vue.js相关知识。" 1. Vue和React的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值