nuxt3:vue-dompurify-html

已于 2023-08-18 17:07:54 修改
阅读量3.1k 收藏 1
点赞数
分类专栏: 前端 文章标签: 前端
于 2023-02-06 21:50:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowball_li/article/details/128908326
版权
文章介绍了如何使用vue-dompurify-html插件在Vue(特别是Nuxt3项目)中避免v-html指令引发的跨站脚本(XSS)攻击。通过安装并配置该插件,可以在动态渲染内容时确保安全性,同时提到了内联样式可能存在的问题及其解决方案。
摘要由CSDN通过智能技术生成

一、引出vue-dompurify-html

 

v-html可能引起跨站脚本攻击(Cross-Site Scripting 简称 XSS)。

所以,在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 v-html,永不用在用户提交的内容上。

仅用于展示的内容个人觉得可以使用。为了避免出现特殊情况,本文介绍一个插件“vue-dompurify-html”。

二、npm

vue-dompurify-html - npm

三、nuxt3项目使用

3.1、安装vue-dompurify-html

pnpm add vue-dompurify-html

3.2、plugins/vueInject.js

// 防止使用v-html发生跨站脚本攻击XSS
import VueDOMPurifyHTML from 'vue-dompurify-html'
export default defineNuxtPlugin(nuxtApp => {
    nuxtApp.vueApp.use(VueDOMPurifyHTML)
})

3.4、业务文件使用

<div v-dompurify-html="'<div>test</div>'"></div>
// 行内再写上行内样式可能会有问题,待继续研究

 问题如图:

 同样的代码下边方式即可:

<div v-dompurify-html="str1"></div>

let str1: string = '<div style="color:red;" class="html"> test1 </div>'

// 推荐这样的方式

经过测试,成功。

四、欢迎交流指正,关注我,一起学习。

参考链接:

vue项目:解决v-html可能带来的XSS是跨站脚本攻击_snowball@li的博客-CSDN博客_vue-dompurify-html

snowball_li
关注
专栏目录
v-html脚本注入问题
ijdjj的博客
04-08 744
v-html脚本注入问题
DOMPurifyDOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurify用JavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)中使用。 在MSIE6或其他旧版浏览器上,它没有中断。 它要么使用要么什么都不做。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
isomorphic-dompurify 使用教程
gitblog_00383的博客
08-25 889
isomorphic-dompurify 使用教程 isomorphic-dompurifyUse DOMPurify on server and client in the same way项目地址:https://gitcode.com/gh_mirrors/is/isomorphic-dompurify 项目介绍 isomorphic-dompurify 是一个用于在服务器端和客户端进行 ...
Vue-Dompurify-HTML 使用指南
最新发布
gitblog_00761的博客
09-15 996
Vue-Dompurify-HTML 使用指南 vue-dompurify-html Safe replacement for the v-html directive 项目地址: https://gitcode.com/gh_m...
使用Vue-DOMPurifyHTML进行安全的HTML渲染
gitblog_00287的博客
09-14 291
使用Vue-DOMPurifyHTML进行安全的HTML渲染 vue-dompurify-html Safe replacement for the v-html directive 项目地址: https://gitcode.c...
使用vue-dompurify-html防御xss攻击
qq_28722667的博客
04-11 5866
之前的防御xss攻击的前端方案太low,影响到了现网用户的体验,但是富文本渲染势不可挡,v-html确实又会被xss攻击,这时vue-dompurify-html就来了!!
11-vue-dompurify-html的使用及使用过程中的问题解决
weixin_46675693的博客
06-28 1586
使用了这个插件后,在测试时确实没有弹出来了,在我以为是成功的情况下,本想着做一下整理,但是更深入查找资料发现,虽然这个插件可以过滤掉xss攻击,但是不会影响其它元素渲染,但是使用后其它元素却没有渲染成功,就很奇怪。后来,我在node_modules中找这个插件的相关信息,结果被我发现在README.md中发现了一句话,意思是当前的版本是适合vue3用,vue2的话需要用4.1.x的版本。下载的版本是v4.1.4,刷新,结果没反应,重新启动,成功啦,没有弹窗,且其它元素也能成功渲染出来,果然是版本的问题。
vue-html2pdf:vue-html2pdf可将任何vue组件或元素转换为PDF,vue-html2pdf基本上仅是vue包装器,并且在后台使用html2pdf.js
05-07
vue-html2pdf将任何vue组件或元素转换为PDF,vue-html2pdf基本上只是一个vue包装器,在后台使用 。 目录 。 在Nuxt.js中使用 道具 大事记@beforeDownload的示例用例 投币口 分页符 指导 浏览器 入门 NPM 使用...
nuxt-vue-multiselect:使用vue-multiselect的Nuxt.js的单选选择插件
05-12
nuxt-vue-multiselect 利用 。 设置 将带有yarn或npm的nuxt-vue-multiselect依赖项添加到您的项目中 添加nuxt-vue-multiselect到modules的部分nuxt.config.js 配置它: { modules : [ 'nuxt-vue-multiselect' ...
一个nuxt版的 vue-quill-editor demo
12-20
**Vue-Quill-Editor在Nuxt.js框架中的应用** Vue-Quill-Editor是一款基于Vue.js的富文本编辑器,它提供了丰富的编辑功能,如字体样式、字号、颜色、列表、图片上传等。Nuxt.js则是一个基于Vue.js的服务器端渲染框架...
nuxt正确使用vue-awesome-swiper
poppy995的博客
11-09 2591
使用nuxt实现轮播图功能适用得是vue-awesome-swiper这个插件 按照官网进行配置 不是报错就是样式有问题 总结了一下能正常使用的步骤 安装插件 // 使用3.1.3版本可以不用引入swiper插件 npm i vue-awesome-swiper@3.1.3 --save 在plugins里创建vue-swiper.js import Vue from 'vue' if (process.browser) { const VueAwesomeSwiper = require
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击和XSS方面有着丰富的背景。不要害怕。
Nuxt-vue3-ver:Nuxt实践中的vue3
04-23
nuxt-vue3文字 构建设置 # install dependencies $ yarn install # serve with hot reload at localhost:3000 $ yarn dev # build for production and launch server $ yarn build $ yarn start # generate static ...
前端vue-dompurify-html替代v-html,避免出现xss攻击
weixin_64310738的博客
02-16 2957
前端vue-dompurify-html替代v-html,避免出现xss攻击
vue3基础知识
qq_58424302的博客
11-05 418
vue3基础知识
npm下载vue-dompurify-html遇到的问题
ddong345的博客
09-14 1006
看到这个文件里有个isVue3 ,想着是不是这个版本插件是不是针对vue3,所以工程一直run失败,于是将插件降到了2.6.0的版本,再去node_modules文件里查看,文件里的代码与上面不一。当vue2项目中需要用到vue-dompurify-html防御xss攻击,当时也没注意版本问题,下载下来就是4.1.4的版本,这时项目启动就一直报错,查找出现这种情况的原因,最终还是解决了…再次启动项目,项目启动ok,有问题还得一步步的去查找是哪个原因…看到这里的报错,于是找到了。
Nuxt解析markdown字符串生成HTML
一个前端小菜菜的博客,四五年的经验,熟悉vue,react,nuxt,微信小程序,Uniapp。
05-08 435
nuxt解析markdown文档
vue使用dompurify进行delta格式的富文本解决潜在的XSS攻击
weixin_54931655的博客
07-07 1580
它可以轻松地将可能存在风险的HTML标签和属性过滤掉,从而确保展示在用户浏览器上的内容是安全的。总之,Delta富文本内容存储媒介是一种非常方便的富文本编辑器数据格式,但其中存在潜在的XSS攻击风险。在前端Vue中使用dompurify库进行HTML转换和过滤可以有效地解决这个问题,确保展示在用户浏览器上的内容是安全的。在这个示例代码中,使用DOMPurify库的sanitize方法对从Delta格式转换而来的HTML字符串进行过滤,确保其中不存在恶意脚本。首先,需要安装dompurify库。
安装Vue3
m0_46814663的博客
03-23 619
使用两种方式下载安装Vue.js 3
nuxt3项目vue-seamless-scroll
09-13
Nuxt.js 是一个基于 Vue.js 的服务端渲染应用框架,而 vue-seamless-scroll 是一个用于创建无缝滚动效果的 Vue 组件。 如果你想在 Nuxt.js 项目中使用 vue-seamless-scroll,可以按照以下步骤进行操作: 1. 在你的 Nuxt 项目中安装 vue-seamless-scroll 包: ```shell npm install vue-seamless-scroll ``` 2. 在需要使用无缝滚动效果的页面或组件中引入 vue-seamless-scroll: ```javascript import Vue from 'vue' import VueSeamlessScroll from 'vue-seamless-scroll' Vue.use(VueSeamlessScroll) ``` 3. 在页面或组件中使用 `<vue-seamless-scroll>` 标签来创建无缝滚动效果,例如: ```html <template> <div> <vue-seamless-scroll :list="scrollList"> <template v-slot="{ item }"> <div>{{ item }}</div> </template> </vue-seamless-scroll> </div> </template> <script> export default { data() { return { scrollList: ['Item 1', 'Item 2', 'Item 3'] } } } </script> ``` 这样就可以在你的 Nuxt.js 项目中使用 vue-seamless-scroll 创建无缝滚动效果了。记得根据你的需求,自定义样式和调整参数配置。希望能帮到你!如果还有其他问题,请继续提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值