【VueJS】为防止暴露 {{xxx}} 而诞生的v-text & v-html

最新推荐文章于 2024-06-18 22:29:23 发布
最新推荐文章于 2024-06-18 22:29:23 发布
阅读量6.2k 收藏 1
点赞数
分类专栏: Vue 文章标签: html javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013451157/article/details/78966104
版权

之前我们在html中输出data中的值时用的是 {{xxx}} ,这种情况是有弊端的:当网速很慢或JavaScript出错时,会暴露 {{xxx}}

Vue给我们提供的 v-text 就是解决这个问题的。我们来看代码:

<div id="app">
    <span>{{ message }}</span>=<span v-text="message"></span><br/>
    <span v-html="msgHtml"></span>
</div>

<script type="text/javascript">
    var app=new Vue({
        el:'#app',
        data:{
            message:'hello Vue!',
            msgHtml:'<h2>hello Vue!</h2>'
        }
    })
</script>

如果在data中写有html标签,用 v-text 是不能输出的,这时候我们就需要用 v-html 标签了。

需要注意的是:在生产环境中动态渲染HTML是非常危险的,因为容易导致XSS攻击。所以只能在可信的内容上使用 v-html ,永远不要在用户提交和可操作的网页上使用。

abloume
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(19)Vue.js中的XSS攻击
午夜安全
12-16 1万+
《WEB安全渗透测试》(19)Vue.js中的XSS攻击 1.前言 Vue是一套用于构建用户界面的渐进式JavaScript框架,与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用。它的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合;另一方面,当与现代化的工具链以及各种支持类库结合使用时,Vue 也完全能够为复杂的单页应用(SPA)提供驱动。 Vue当下很火,但是鲜有人知Vue写法不当,很容易出现XSS漏洞。 2.Vue漏洞复现...
vue 获取元素额外生成的data-v-xxx操作
10-14
主要介绍了vue 获取元素额外生成的data-v-xxx操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Vue2中v-html引发的安全问题
知远同学的博客
12-06 1198
1.作用:向指定节点中渲染包含html结构的内容。2.与插值语法的区别:(1).v-html替换掉节点中所有的内容,{{xx}}则不。(2).v-html可以识别html结构。3.严重注意:v-html有安全性问题!!!!(1).在网站上动态渲染任意HTML是非常危险的,容易导致XSS攻击。(2).一定要在可信的内容上使用v-html,永不要用在用户提交的内容上!
vue打包js文件混淆加密保护
大英雄不该去雪山打滚
11-22 1万+
需求 部署到服务器上的vue项目在网页F12之后能看到源码,vue文件啦,js文件啦,都能看到,连我的注释都能看到,这能随便给别人看? 环境 vue 3 vue cli 4 webpack 4 解决方案 方案一 工具:“uglifyjs-webpack-plugin”: “^2.2.0” 使用: const UglifyJsPlugin = require('uglifyjs-webpack-plugin') ... module.exports = { configureWebpack: {
vue-必备知识点
最新发布
2401_85124163的博客
06-18 908
前端资料汇总框架原理真的深入某一部分具体的代码和实现方式时,要多注意到细节,不要只能写出一个框架。算法方面很薄弱的,最好多刷一刷,不然影响你的工资和成功率😯在投递简历之前,最好通过各种渠道找到公司内部的人,先提前了解业务,也可以帮助后期优秀 offer 的决策。要勇于说不,对于某些 offer 待遇不满意、业务不喜欢,应该相信自己,不要因为当下没有更好的 offer 而投降,一份工作短则一年长则 N 年,为了幸福生活要慎重选择!!!
vue项目打包优化,防止项目代码泄漏
不怕麻烦的鹿丸的博客
12-19 2178
在开发VUE项目的时候,可能有些情况下,我们的VUE项目打包后发布到服务器上访问,但是在chrome开发调试里的Sources—> Page—> webpack 可以查看到项目的webpack 包。注意:vueCli3中productionSourceMap设置为false,有可能出现不生效的情况,这时候就还要同时设置。,如果没有就自己创建一个,然后在配置文件里设置productionSourceMap为false。将build对象下面的productionSourceMap设置成false。
Java代码审计-系统信息泄露 jsp中使用html注释
dilamo1968的博客
08-22 304
低危 系统中存在大量JSP页面当中注释采用HTML注释,而不是JSP注释的情况。 此情况下,攻击者在浏览器浏览页面的时候,右键查看页面代码,可以看到HTML注释内的信息,很多时候甚至是代码块,导致系统信息泄露。 Jsp html 注释区别: (1)HTML页面注释-----这里面的注释被编译(加载页面时,进行语法判断,取需要的变量默认值) <!--...
vue使用v-html不执行script标签代码解决
weixin_39137100的博客
04-06 1853
正则提取script标签内容及src的值
vue 出现data-v-xxx的原因及解决
10-15
Vue自动将 `.list-container:hover` 的CSS选择器转换为 `.list-container[data-v-xxx]:hover`,这里的 `data-v-xxx` 是一个唯一标识,确保这个样式只对当前组件生效。这样,即使其他组件也有相同类名的元素,它们...
J-FLASH- 华大-HC32xxx_J-Flash_V2.0.rar
09-24
总结来说,J-FLASH V2.0为华大半导体HC32系列MCU的开发者提供了强大而便捷的编程工具,使得程序的烧录和调试变得更为高效和准确。通过深入了解和熟练掌握J-FLASH的使用,开发者可以更好地挖掘HC32系列MCU的潜能,...
华大芯片包:HC32xxx J-Flash V2.0
06-05
华大芯片包:HC32xxx J-Flash V2.0 是一个专为华大半导体(HDSC)微控制器系列设计的固件升级工具。这个工具主要用于支持使用J-Link仿真器进行编程和调试。J-Link是SEGGER公司推出的一款流行的嵌入式开发工具,它...
vue基于v-charts封装双向条形图的实现代码
10-15
Vue.js应用中,我们可以利用第三方库v-charts来创建数据可视化图表。v-charts是基于ECharts的一个轻量级封装库,它提供了简洁的Vue API来操作图表,使得在Vue项目中集成图表变得简单易行。本篇将详细介绍如何在Vue...
为什么vue v-html不执行script代码
細水、長流√的专栏
06-02 3625
问题有个朋友问了个问题:为啥vue中的v-html执行中的js代码?比如,给v-html赋予下面这个值,虽然看到DOM中有值,但却不弹窗。 解释可能他还不知道,这个不是vue的限制,而是html5中的规定。html5中为了安全起见,不执行innerHTML中插入的的代码。所以,如果想给v-html赋值的代码,虽然能看到在dom中成功展示,但却不执行中的js代码的。那v-html能否防御xss攻击?既然v-html都不执行
规避使用 vue 的 v-html 指令的方法
热门推荐
JimmyLuo17的博客
08-01 2万+
一、引言前一阵子在写业务的时候,发现公司的代码里,有个场景是这样的:需要用户定义一些活动规则,然后在左边的手机预览图中,实时显示出这些活动规则。于是,同事用了一个带 v-html 指令的 <textarea> 标签,并且将双向数据绑定之后的变量 str 直接用 v-html="str" 将 str 绑定在 DOM 上,然后用户输入的规则显示在左边的预览图中。二、思考但我们在学 vue 的教程的时候,
vue的常用指令v-tex,v-html基本用法小案例
hq.zheng的博客
07-10 986
一.案例代码&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;vue的常用指令v-tex,v-html&lt;/title&gt; &lt;/head&gt; &lt;body&gt; &lt;div id=
一段代码看懂v-html和v-text的区别
ThisOnly的博客
06-19 1890
先引入vue.js的cdn https://www.bootcdn.cn/ 或是进行一个vue的模块的下载 //模块化安装 npm/cnpm/yarn i vue -D <body> <div id="app"> <p v-html = "msg"></p> <p v-text = "msg"...
vue中xss详细配置
沃德天,倪维胜么,捺莫帅?
09-25 3727
xss文件 import xss from 'xss'; // 导入xss包 const options = { // 白名单 whiteList:{ a: ['style', 'href', 'title', 'target'], p:['style'], section: ['style'], strong: ['style'], abbr: ["title",'style'], addres
vue项目前端解决xss攻击方案
baogeprh的博客
12-15 9993
项目中input框中添加验证方法 // 通过下面正则表达式验证 export function isSpecialCharacter (s) { let regEn = /[`~!@#$%^&*()_+<>?:"{}.\/;'[\]]/im let regCn = /[·!#¥(——):;“”‘、|《。》?、【】[\]]/im if (regEn.test(s) || regCn.test(s)) { return true; } else { ret
vue v html实现原理,vue中v-text / v-html使用实例代码详解
weixin_31633071的博客
06-01 1333
废话少说,代码如下所述:Vue实例中的数据,事件和方法new Vue({el:"#root",data:{msg: "world",number:123}})显示123Vue实例中的数据,事件和方法new Vue({el:"#root",data:{content: "hello world",}})补充:vuejs {{}},v-text 和 v-html的区别{{message}} let a...
ps aux | grep 'xxx' | grep -v grep
04-03
ps aux | grep 'xxx' | grep -v grep 是一种常用的Linux命令组合,用于查找包含特定关键字的进程。下面是该命令的详细解释和示例: 1. ps aux:该命令用于显示当前系统中所有进程的详细信息。其中,a选项表示显示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值