vue项目:解决v-html可能带来的XSS是跨站脚本攻击

已于 2023-08-18 17:25:12 修改
阅读量3.6k 收藏 3
点赞数 1
分类专栏: 前端 文章标签: html xss 前端
于 2021-12-27 18:20:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowball_li/article/details/122177410
版权

一、项目简介

vue开发,nuxt项目

二、问题简述

当使用v-html时,出现提示如图:

三、解决问题

3.1、方案

使用vue-dompurify-html代替v-html

3.2、安装

yarn add vue-dompurify-html

3.3、plugins下创建vueInject.js  (名字自己取)

import VueDOMPurifyHTML from 'vue-dompurify-html'
import Vue from 'vue'
Vue.use(VueDOMPurifyHTML)

3.4、nuxt.config.js

配置项 plugins

引入文件

 3.5、重启项目

3.6、项目使用:

<div  v-dompurify-html="form.content"></div>

四、效果:

五、独学而无友,则孤陋而寡闻, 欢迎关注、收藏、评论、指正

六、参考链接:

nuxt中v-html指令警告(warning ‘v-html‘ directive can lead to XSS attack vue/no-v-html)_dan_seek的博客-CSDN博客

snowball_li
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[绍棠] Vue解决V-HTML指令潜在的XSS攻击(‘v-html‘ directive can lead to XSS attack.)
绍棠的博客
01-14 1478
什么是 XSS 攻击? XSS跨站脚本攻击(Cross-Site Scripting)的简称。 XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中。 当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。 发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型
DOMPurifyDOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurify用JavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)中使用。 在MSIE6或其他旧版浏览器上,它没有中断。 它要么使用要么什么都不做。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
npm下载vue-dompurify-html遇到的问题
ddong345的博客
09-14 559
看到这个文件里有个isVue3 ,想着是不是这个版本插件是不是针对vue3,所以工程一直run失败,于是将插件降到了2.6.0的版本,再去node_modules文件里查看,文件里的代码与上面不一。当vue2项目中需要用到vue-dompurify-html防御xss攻击,当时也没注意版本问题,下载下来就是4.1.4的版本,这时项目启动就一直报错,查找出现这种情况的原因,最终还是解决了…再次启动项目项目启动ok,有问题还得一步步的去查找是哪个原因…看到这里的报错,于是找到了。
关于在vue中使用v-html存在的问题
最新发布
weixin_72915006的博客
04-01 174
2.XSS跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本来获取用户的敏感信息或控制用户的浏览器。XSS攻击可以分为存储型XSS、反射型XSSDOMXSS。1.一般在编辑器有问题的时候再只读页面常用v-html,关于v-html有一些稍微要注意的点:xss攻击。
v-html预防xss攻击
weixin_47084275的博客
11-24 750
v-html预防xss
vue项目如何防范XSS攻击?
接着奏乐接着舞的博客
11-16 1489
介绍了实际工作中渲染数据时遇到XSS攻击时的防范措施,以及解决方案。还有XSS攻击的原理、途径以及如何防范
vue中使用v-html防止xss注入
aGreetSmile的博客
06-25 1793
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在的xss漏洞问题。
使用vue-dompurify-html防御xss攻击
qq_28722667的博客
04-11 4622
之前的防御xss攻击的前端方案太low,影响到了现网用户的体验,但是富文本渲染势不可挡,v-html确实又会被xss攻击,这时vue-dompurify-html就来了!!
nuxt3:vue-dompurify-html
snowball的博客
02-06 2762
所以,在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 v-html,永不用在用户提交的内容上。仅用于展示的内容个人觉得可以使用。为了避免出现特殊情况,本文介绍一个插件“vue-dompurify-html”。v-html可能引起跨站脚本攻击(Cross-Site Scripting 简称 XSS)。3.1、安装vue-dompurify-html。一、引出vue-dompurify-html。四、欢迎交流指正,关注我,一起学习。三、nuxt3项目使用。
Vue中 v-html 指令警告( warning ‘v-html‘ directive can lead to XSS attack vueno-v-html
青颜的天空的博客
07-16 7875
Vue中 v-html 指令警告: warning 'v-html' directive can lead to XSS attack vueno-v-html,可以修复或者忽略此警告
开发随笔(前端内容)
为写出赏心悦目、容易维护的代码而探索
04-19 4133
有点意思
vue-pdf:vue.js pdf查看器
05-07
vue-pdf vue.js pdf查看器 安装 npm install --save vue-pdf 示例-基本 < template> < pdf xss=removed></ pdf> </ template> < script > import pdf from ' vue-pdf ' export default { components : { pdf } } 演示版 待定:修复演示 浏览器支持 与相同的浏览器支持 笔记 从v2.x开始,该脚本将导出为esm。 原料药 道具 :src字符串/对象-默认值:'' pdf文件的网址。 src也可以是string|TypedArray|DocumentInitParameters|PDFDataRangeTransport以获得更多详细信息,请参见 。 :页码
vue实现在v-htmlhtml字符串中绑定事件
10-16
今天小编就为大家分享一篇vue实现在v-htmlhtml字符串中绑定事件,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue-storybook:自定义Vue单个文件组件的块
02-06
故事书 Vue单个文件组件的自定义<story>块,这些块可通过Vue CLI 3和开箱即用。 yarn add vue-storybook const { storyLoader , registerStories } = require ( "vue-storybook" ) ; 这是什么? Webpack加载器+帮助程序脚本,可让您使用自定义的<story>块修饰已存在的Vue单个文件组件(SFC),该块会自动翻译成风格的故事。 你好世界的例子 回购: : < story xss=removed> < my-button : disabled
vue-uuid:将UUID添加到Vue实例
05-02
Vue UUID 将UUID添加到Vue实例。 安装 安装非常容易,您只需要使用NPM或Yarn安装即可。 npm i vue-uuid Vue的use方法将把技巧添加到Vue中。 import Vue from "vue" ; import UUID from "vue-uuid" ; Vue . use ( UUID ) ; 用法 安装后,实例上可以使用$uuid ,因此您可以使用内部组件模板和脚本,如下例所示。 < template> < div xss=removed> < h3 xss=removed>{{ uuid }}</ h3> < button class = " button " @ click = " uuid = $uuid . v1 () " >Generate
详解三种方式解决vue中v-html元素中标签样式
10-17
主要介绍了三种方式解决vue中v-html元素中标签样式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
vue-pdf-sign:vue-pdf 增加支持显示签名
05-17
vue-pdf-符号 vue.js pdf查看器 安装 npm install --save vue-pdf-sign 2020-07-10 npm 重新打包!!支持显示签章 by 张总监 朱总监 示例-基本 < pdf xss=removed> < script > import pdf from ' vue-pdf ' ...
vuejs-serverside-template-xss:混合了导致XSS漏洞的客户端模板和服务器端模板的Vue.js应用程序的演示
02-06
Vue.js服务器端模板XSS示例该存储库演示了同时使用服务器端渲染和Vue.js的Web应用程序如何能够容易受到XSS的攻击,即使它们采取了预防措施。 index.php是一个易受攻击PHP脚本。 fix-v-pre.php和fix-servervars-...
vue项目 v-html存在植入xss攻击怎么解决
热门推荐
zhaoletf的博客
03-23 1万+
然后在需要使用v-html的页面,将v-html改为 v-dompurify-html即可解决xss攻击问题.但是这样写的话也是比较麻烦的,如果这个项目已经做的很大了,在一个个的去改,这样费事费力,还不易于后期开发的维护.当人员离职入职的时候容易造成交接不到位的问题. ...
Vue解决xss脚本攻击
07-25
Vue 框架本身并不能直接解决 XSS跨站脚本攻击)问题,但可以采取一些措施来减轻和防止这类攻击的发生。下面是一些常见的方法: 1. 使用模板语法:Vue 的模板语法会自动对插值进行 HTML 转义,这可以防止恶意脚本的执行。确保在插值表达式中使用双花括号 `{{ }}` 或 `v-text` 指令,而不是 `v-html` 指令。 2. 使用过滤器:Vue 的过滤器可以对数据进行处理和转义,例如使用内置的 `{{ text | filter }}` 语法或者通过全局过滤器。在过滤器中使用可信的 HTML 清理库,如 DOMPurify,对数据进行 XSS 过滤。 3. 使用第三方库:可以使用一些专门用于防止 XSS 攻击的第三方库,例如 vue-xssDOMPurify。这些库提供了更强大的 XSS 过滤和安全性功能,可以在渲染数据之前进行过滤和清理。 4. 输入验证和过滤:在接收用户输入时,进行严格的输入验证和过滤。确保仅接受预期的数据类型和格式,并对用户输入进行适当的转义或过滤。 5. 安全 HTTP 头设置:在服务器端设置适当的 HTTP 头,如 Content-Security-Policy(CSP)和X-XSS-Protection,以帮助防止 XSS 攻击。 6. 定期更新依赖库:保持 Vue 及其相关依赖库的最新版本,以获取最新的安全修复和功能更新。 需要注意的是,以上方法只是减轻和防止 XSS 攻击的一些基本措施,不能保证100%的安全。在开发过程中,还应该密切关注安全性问题,并遵循最佳实践来保护应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值