11-vue-dompurify-html的使用及使用过程中的问题解决

于 2024-06-28 11:51:38 发布
阅读量292 收藏 4
点赞数 9
文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46675693/article/details/140023706
版权

前提条件:偶然了解到vue-dompurify-html这个插件,就想测试一下

vue-dompurify-html 是一个为 Vue.js 设计的工具库,是基于 DOMPurify 库进行封装,用于过滤和处理 HTML 内容以防止跨站脚本攻击(XSS)

补充说明:XSS(跨站脚本攻击)的原理主要涉及到通过利用网页开发时留下的漏洞,将恶意指令代码注入到网页中,当用户加载并执行这些恶意代码时,达到攻击的目的

过程:简单记录一下使用方法

1、安装

npm install vue-dompurify-html

2、在main.js中引用

import VueDOMPurifyHTML from 'vue-dompurify-html'
Vue.use(VueDOMPurifyHTML)

3、在页面中使用,将v-html替换成v-dompurify-html即可

<template>
  <div class="all">
   <div v-dompurify-html="compiledMarkdown"></div>
  </div>
</template>

<script>
export default {
  data() {
    return {
      compiledMarkdown:'123123123<img src="x" onerror="alert(1)">Hello, <b>World</b>!',   
    };
  },
}
</script>

在示例中,赋值的HTML内容以alert弹窗作为一个测试的恶意脚本放在了onerror事件处理器中

正常情况下,使用v-html,会测试出弹窗

但是,由于使用了 v-dompurify-html 指令,这个恶意事件处理器在渲染时会被移除,从而防止了XSS攻击

使用了这个插件后,在测试时确实没有弹出来了,在我以为是成功的情况下,本想着做一下整理,但是更深入查找资料发现,虽然这个插件可以过滤掉xss攻击,但是不会影响其它元素渲染,但是使用后其它元素却没有渲染成功,就很奇怪

有点怀疑,我猜测是没有用上,或者说这个插件没有生效

后来,我在node_modules中找这个插件的相关信息,结果被我发现在README.md中发现了一句话,意思是当前的版本是适合vue3用,vue2的话需要用4.1.x的版本

结果我当前用的是vue2,会不会是版本不适配导致的不生效,既然这么说,就降低一下这个插件的版本试试

重新安装v4的版本

npm install vue-dompurify-html@4

下载的版本是v4.1.4,刷新,结果没反应,重新启动,成功啦,没有弹窗,且其它元素也能成功渲染出来,果然是版本的问题

坚持就是胜利!

澪Lwh
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vue3+Ts 解决富文本编辑器潜在的XSS攻击
PhoenixGuangyu的博客
01-04 1736
当我们使用v-html去解析 富文本 时,遇到script标签会自动解析并运行。例如:我们在富文本插入一段字符串 "hello vue<img src="../qwe" onerror="alert(1)">"同理 ,若插入其他脚本,则可以悄无声息地获取页面的各种信息。XSS攻击是一种利用Web应用程序存在的漏洞,向用户的浏览器注入恶意脚本的攻击方式。二、解决方案2:使用html自带的清洗器:sanitize-html。一、解决方案1:使用 vue-dompurify-html 插件。
vue项目:解决v-html可能带来的XSS是跨站脚本攻击
snowball的博客
12-27 4109
一、项目简介 vue开发,nuxt项目 二、问题简述 当使用v-html时,出现提示如图: 三、解决问题 3.1、方案 使用vue-dompurify-html代替v-html 3.2、安装 yarn add vue-dompurify-html 3.3、plugins下创建vueInject.js (名字自己取) import VueDOMPurifyHTML from 'vue-dompurify-html' import Vue from 'vue' Vue.use(V.
使用 Vue 框架踩过最大的坑是什么?怎么解决的?
最新发布
cai5的专栏
03-29 834
应付面试问题,去网上找的,汇总到一起
DOMPurifyDOMPurify-用于HTML,MathML和SVG的纯DOM,超快速,超级耐XSS消毒剂。 DOMPurify具有安全默认值,但提供了许多可配置性和挂钩。 演示:
02-03
净化 DOMPurify是用于HTML,MathML和SVG的仅DOM,超快速,超耐性XSS消毒剂。 使用和入门也非常简单。 DOMPurify于,同时达到了2.2.6版本。 DOMPurifyJavaScript编写,可在所有现代浏览器(Safari(10 +),Opera(15 +),Internet Explorer(10 +),Edge,Firefox和Chrome-以及使用Blink或WebKit的几乎所有其他浏览器)使用。 在MSIE6或其他旧版浏览器上,它没有断。 它要么使用要么什么都不做。 我们的自动化测试目前涵盖,以后还会更多。 我们还将介绍在jsdom上运行D
nuxt3:vue-dompurify-html
snowball的博客
02-06 2931
所以,在网站上动态渲染任意 HTML 是非常危险的,因为容易导致 [XSS 攻击]。只在可信内容上使用 v-html,永不用在用户提交的内容上。仅用于展示的内容个人觉得可以使用。为了避免出现特殊情况,本文介绍一个插件“vue-dompurify-html”。v-html可能引起跨站脚本攻击(Cross-Site Scripting 简称 XSS)。3.1、安装vue-dompurify-html。一、引出vue-dompurify-html。四、欢迎交流指正,关注我,一起学习。三、nuxt3项目使用
前端vue-dompurify-html替代v-html,避免出现xss攻击
weixin_64310738的博客
02-16 2753
前端vue-dompurify-html替代v-html,避免出现xss攻击
使用vue-dompurify-html防御xss攻击
qq_28722667的博客
04-11 5268
之前的防御xss攻击的前端方案太low,影响到了现网用户的体验,但是富文本渲染势不可挡,v-html确实又会被xss攻击,这时vue-dompurify-html就来了!!
DOMPurify 使用方法,如何安全地操作DOM |.sanitize()|.innerHTML|TypeScript TS
cybozu的博客
09-11 1408
你可以用充满脏HTML的字符串来输入DOMPurify,它将返回一个带有干净HTML的字符串(除非另有配置)。您的浏览器越快,DOMPurify 的速度就越快。DOMPurify是用JavaScript编写的,适用于所有现代浏览器(Safari(10+),Opera(15+),Edge,Firefox和Chrome - 以及几乎所有使用Blink,Gecko或WebKit的其他浏览器)。DOMPurify是一个仅限DOM的,超快速的,超级宽容的XSS清理器,用于HTML,MathML和SVG。
解决vue-clistylus无法使用问题方法
08-30
主要介绍了解决vue-clistylus无法使用问题方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
使用vue-aplayer插件时出现的问题解决
08-27
使用vue-aplayer插件时出现的问题解决使用vue-aplayer插件时,可能会遇到一些问题,本文将介绍这些问题解决方法。首先,我们需要安装vue-aplayer插件,可以使用npm install vue-aplayer --save命令来安装。 ...
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击和XSS方面有着丰富的背景。不要害怕。
vue项目使用lib-flexible解决移动端适配的问题解决
10-18
主要介绍了vue项目使用lib-flexible解决移动端适配的问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
深入理解vue-loader如何使用
08-30
例如,在组件的style块使用sass:<style lang="sass"> /* write SASS! */ 语言块的src属性 如果你习惯将*.vue组件分割成多个文件,可以使用语言块的src属性把扩展文件引入到组件。例如:...
使用vue-cli打包过程的步骤以及问题解决
08-27
主要介绍了使用vue-cli打包过程的步骤以及问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
es6 使用 cure53/DOMPurify 来防止xss 攻击
qq_44891434的博客
12-17 1416
es6 使用 cure53/DOMPurify 来防止xss 攻击 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1....
htmlalert的用法_【渗透实战】通过HTML命名空间混淆绕过DOMPurify实现XSS
weixin_39716044的博客
11-29 738
点击上方蓝字关注我们1概述本篇文章主要介绍了如何绕过主流的HTML杀毒程序库DOMPurifyDOMPurify是一款使用JavaScript编写的的HTML过滤库,可以处理来自用户的不受信任的HTML片段,删除可能导致跨站脚本攻击(XSS)的所有元素及属性。具体的绕过方法如下所示:<form><math><mtext>form><for...
xss的DOMPurify过滤框架:一个循环问题以及两个循环问题
Miracle_ze的博客
08-02 1282
过滤
cure53/DOMPurify 对用户输入的进行过滤
cominglately的博客
04-18 1185
文章目录场景cure53/DOMPurify推荐理由 场景 用户输入在后台是使用之前是要过滤的 cure53/DOMPurify github 地址 cdn地址 推荐理由 上手容易,操作非常简单 var clean = DOMPurify.sanitize(dirty, {SAFE_FOR_JQUERY: true}); 快 The faster your browser, th...
npm下载vue-dompurify-html遇到的问题
ddong345的博客
09-14 760
看到这个文件里有个isVue3 ,想着是不是这个版本插件是不是针对vue3,所以工程一直run失败,于是将插件降到了2.6.0的版本,再去node_modules文件里查看,文件里的代码与上面不一。当vue2项目需要用到vue-dompurify-html防御xss攻击,当时也没注意版本问题,下载下来就是4.1.4的版本,这时项目启动就一直报错,查找出现这种情况的原因,最终还是解决了…再次启动项目,项目启动ok,有问题还得一步步的去查找是哪个原因…看到这里的报错,于是找到了。
vue2使用vue-dompurify-html
04-25
你好,关于在Vue2使用vue-dompurify-html,你可以按照以下步骤进行操作: 1、安装vue-dompurify-html: ```shell npm install vue-dompurify-html --save ``` 2、在main.js引入并注册vue-dompurify-html: ```js import Vue from 'vue'; import VueDomPurifyHTML from 'vue-dompurify-html'; Vue.use(VueDomPurifyHTML); ``` 3、在组件使用vue-dompurify-html: ```html <template> <div v-html="cleanHtml"></div> </template> <script> export default{ data(){ return{ dirtyHtml: '<p><script>alert("hello world")</script>hello world</p>', } }, computed:{ cleanHtml(){ return this.$sanitize(this.dirtyHtml); }, }, } </script> ``` 其,$sanitize是VueDomPurifyHTML的方法,用于使得dirtyHtml的内容被清洗,从而在页面避免执行恶意脚本的风险。 希望这些内容能够帮助你解决问题,如有疑问,欢迎随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值